[23/09/2013] Una
falla de “día cero” descubierta en Internet Explorer (IE) y que afecta a todas las versiones del navegador está siendo ampliamente explotada, según informes propios de Microsoft. El ataque parece centrado en las versiones IE 8 y 9, pero expertos de Websense han descubierto que cerca del 70% de los usuarios corporativos de Windows es susceptible de sufrir un ataque de este tipo.
"Hemos revisado las fuentes telemétricas de terceros para analizar una base global de accesos a Internet y determinar el alcance inicial de la amenaza. Aunque la falla parece afectar a todas las versiones de IE, por el momento, los ataques solo parecen ir dirigidos a usuarios de IE 8 e IE 9, que ejecutan Windows 7 y XP ", ha subrayado el director de investigación de seguridad de Websense, Alex Watson.
Según las primeras declaraciones, las instalaciones de IE corren sobre Server 2003, 2008 y 2012, lo que limitará los daños del ataque gracias a los parámetros de instalación de este sistema. Los expertos sugieren que el alcance del problema es bastante serio y que probablemente Microsoft distribuirá un parche fuera de su calendario habitual, que marca el próximo 8 de octubre como fecha para la próxima publicación de parches.
"La nueva vulnerabilidad de día cero detectada es dañina. Los usuarios y administradores deben tomar medidas inmediatas para mitigar su riesgo. Teniendo en cuenta el calendario, yo realmente espero un parche de Microsoft antes de la fecha programada", afirma el director senior de ingeniería de seguridad de Rapid7, Ross Barrett.
"Todas las versiones de IE pueden verse afectadas, lo que significa que esta vulnerabilidad existe probablemente desde que se lanzó IE 6 en el 2001. El hecho de que se le preste atención ahora responde al volumen notable de ataques producidos o al impacto de una explotación masiva del mismo. Puede que se haya descubierto la semana pasada o quizás lleve guardado más de una década en la caja de herramientas de los mejores editores de malware del mundo”, sostiene Barret.
Se esperan próximos ataques
Patrick Thomas, consultor de seguridad en Neohapsis, espera que esta nueva vulnerabilidad figure en los kits de ataque de muchos criminales en las próximas semanas. En concreto, afirma que “aunque los daños son por ahora de pequeño alcance, es probable que la vulnerabilidad se comercialice y su uso se generalice en las próximas cinco semanas".
El descubrimiento de esta última falla de Internet Explorer es una prueba más de que los atacantes siguen dirigiéndose hacia productos maduros, sostiene Thomas. Para evitarlos existen tecnología defensivas en muchos programas actuales, como Address Space Layout Randomization (ASLR), que ayudan a evitar vulneraciones de este tipo y dificultan en gran medida que se produzcan ataques como el que sufre ahora Internet Explorer.
"No es una coincidencia que se dirijan a una biblioteca de enlace dinámico (DLL) que no ha sido compilada con ASLR. Los administradores de redes corporativas deben ser conscientes de qué software se utiliza en sus redes y utilizar protecciones integradas, como DEP y ASLR, además de revisar sus programas de actualización de parches de forma que puedan mitigarse los riesgos de estos programas más vulnerables", sugiere Thomas.
Microsoft está animando a los administradores a instalar el parche llamado
CVE-2013-3893MSHTML Shim Workaround para mitigar posibles daños, antes de proporcionar una solución definitiva. El parche solo se aplica a instalaciones de 32 bits, por lo que también se recomiendan otras soluciones temporales, como EMET 3.0 y 4.0.
Steve Ragan. CSO (EE.UU.)