Llegamos a ustedes gracias a:



Alertas de Seguridad

Internet Explorer 7

Los hackers se lanzan contra su brecha más reciente

[18/02/2009] Los atacantes están explotando ya una vulnerabilidad de Internet Explorer 7 (IE7) que Microsoft parchó hace tan solo una semana, según han advertido varios investigadores especializados en seguridad.

Aunque estos ataques contra Internet Explorer 7 se están produciendo en cantidades todavía muy, muy reducidas, podrían representar simplemente los precursores de una gran campaña de hacking, según Jamz Yaneza, director de investigación de amenazas de Trend Micro. Creo que se trata de una prueba de concepto, explica Yaneza, quien también apunta que el sistema de explotación que se está utilizando es extremadamente directo, carente de intento alguno de enmascarar el ataque vía, por ejemplo, la instalación de un rootkit sobre el PC de la víctima.
El nuevo código de ataque, al que Trend Micro se refiere como XML-Dloadr.a llega a la víctima en un mensaje difundido mediante técnicas de spam, y se encuentra en un archivo malicioso que se presenta como un documento en formato Microsoft Word. En caso de que el usuario abriera tal documento y su PC no estuviera parcheada con la actualización de seguridad MS09-002 emitida la semana pasada por Microsoft, el equipo quedaría secuestrado por los hackers. El parche de Microsoft cubría dos agujeros de IE7, ambos críticos, y seis más en otros programas del fabricante.
No es infrecuente que los hackers entren en acción lanzando nuevo código de explotación solo unos días después de que Microsoft haya parcheado la vulnerabilidad, previamente desconocida, contra la que dirigen sus ataques. Una vez revelada la brecha, cuentan con unos días de ventaja porque saben que algunos usuarios tardarán en parchearla. De hecho, incluso transcurridos meses desde que Microsoft resolviera la brecha explotada por el gusano Conficker, éste ha conseguido infectar millones de PC debido a la negligencia de muchos usuarios en la aplicación de las actualizaciones de seguridad.
CIO, España