No pasaron ni 24 horas desde que se publicaron las actualizaciones de
seguridad de Microsoft de junio y ya la ingeniería inversa había dado
sus frutos. Han comenzado a proliferar nuevos exploits capaces de
aprovechar las vulnerabilidades recién descubiertas para ejecutar
código y recolectar víctimas.
Microsoft publicó el día 13 de junio, como cada segundo martes de mes,
12 boletines de seguridad que agrupaban 21 vulnerabilidades distintas.
Desde octubre de 2004 no se recordaba un conjunto de vulnerabilidades
tan numeroso. Incluso en aquella ocasión, fueron algunas menos las
calificadas como críticas.
El aumento de parches no tiene nada que ver con la casualidad. Es
posible que esté relacionado con la oferta que desde febrero realiza
iDefense a quien descubra una vulnerabilidad crítica en Windows. Ofrece
hasta 10.000 dólares, nada más y nada menos. Por si fuera poco,
TippingPoint, otra compañía privada, ofrece 50.000 dólares a quien
encuentre fallos críticos no sólo en Windows, sino en «software
popular»… Estas dos iniciativas son responsables en total, de seis
de las vulnerabilidades descubiertas.
Pero el peligro no se encuentra sólo en el número de vulnerabilidades
ni en que los «investigadores» sean motivados para descubrirlas, sino
en el cada vez más corto lapso de tiempo que ocurre desde que se hace
público un fallo y aparecen exploits para aprovecharlo. Antes de que
se hiciesen públicos los boletines, ya se estaban aprovechando
activamente tres vulnerabilidades descritas en MS06-021 y MS06-027,
todas calificadas como críticas. Para dos vulnerabilidades descritas
en el MS06-030, también se han hecho públicos exploits a partir de
los boletines.
En total, se habla de que existen códigos públicos o privados para
aprovechar hasta 6 de las 21 vulnerabilidades. Todo eso, tan sólo
algunas horas después de que aparezcan los boletines y los parches
y de que los usuarios puedan actualizarse.
Aunque no todas las vulnerabilidades están siendo aprovechadas en masa,
el simple hecho de que existan suponen un grave problema. Como ya hemos
repetido en varias ocasiones, el malware puede ser mucho más productivo
y duradero si se ataca con él a un número de víctimas reducido. Es ese
simple «capricho» circunstancial el que ha librado desde hace algunos
años al resto de millones de usuarios de sufrir periódicamente un
gusano o virus masivo que afecte a nivel mundial.
En lo referente a los administradores, ya no se puede hablar de
ventanas de tiempo ni de periodo de pruebas para aplicar parches. Ya
no existe ese intervalo de tiempo en el que los administradores podían
permitirse ser vulnerables (porque no se conocía amenaza) en espera de
probar los parches y su impacto en el entorno o simplemente para
distribuirlos entre un gran número de máquinas. Hoy por hoy, deben
actuar lo antes posible y además emprender una importante reforma en el
sistema para mitigar el posible impacto de no aplicar parches o hacerlo
a destiempo. Esto, en muchos entornos, no es siempre posible y se ven
desbordados ante un trabajo a contrarreloj que puede acarrear
incompatibilidades.
Y es que el panorama no invita a la relajación ni el despiste. En
particular Microsoft advierte sobre la importancia de los boletines
MS06-021, MS06-022 y MS06-023, cuyas vulnerabilidades permiten la
ejecución de código con sólo visitar una página web con Internet
Explorer.
Pero actualizar un sistema Windows tampoco garantiza nada. No pasaron ni
48 horas desde los últimos boletines, y ya ha aparecido un nuevo «0 day»
o amenaza sin parche. Igual que se descubrió a mediados de mayo una
vulnerabilidad en Microsoft Word que podía ser aprovechada por atacantes
para comprometer el sistema, se acaba de hacer pública otra de similares
características en Excel. Incluso las dos se han descubierto en
parecidas circunstancias. La vulnerabilidad es aprovechada con sólo
abrir un archivo XLS con Microsoft Excel. El código ejecutado intenta
descargar malware desde una página web e inyecta código en Internet
Explorer para saltarse posibles cortafuegos. Microsoft ha confirmado
el problema y se está a la espera de más detalles. Para muchos, la
sensación de un sistema completamente actualizado y razonablemente
seguro se ha esfumado en cuestión de horas.
Este es un ejemplo más de la importancia y valor actual de una
vulnerabilidad que permita la ejecución de código en programas
populares. Instalar de alguna forma código no deseado en los sistemas
operativos, es la piedra angular de las bandas organizadas detrás de
los ataques de phishing y demás actividades ilegales, y la ejecución
de código se consigue, en su mayoría, a través de las vulnerabilidades.
Es lo que alimenta un negocio muy rentable y de ahí el ansia y la
vorágine de información fresca y privilegiada que permita continuar
con él.
El análisis, descubrimiento, parcheo y tráfico de vulnerabilidades se
está convirtiendo en una carrera cada vez más veloz y vertiginosa en
la que a nadie se le perdonará un descuido.
ssantos@hispasec.com
Más información:
Vulnerability Contributor Program
http://www.idefense.com/methodology/vulnerability/vcp.php
Zero Day Initiative
http://www.zerodayinitiative.com/
Exploits for Microsoft Flaws Circulating
http://www.pcworld.com/news/article/0,aid,126091,00.asp
Reports of a new vulnerability in Microsoft Excel
http://blogs.technet.com/msrc/default.aspx
Detalles sobre la vulnerabilidad de Microsoft Word
http://www.hispasec.com/unaaldia/2768
Deja un comentario