Los hackers están trabajando contrarreloj para desarrollar sus propias herramientas que les permitan atacar una vulnerabilidad de día cero en Internet Explorer. Esto está presionando a Microsoft para que lance, cuanto antes, un parche que resuelva el problema antes de que los ataques se disparen.

Desde que Microsoft confirmara la existencia de un nuevo fallo que podría comprometer la seguridad de los PC que trabajan con Internet Explorer 6 e Internet Explorer 7, todas las alarmas se han disparado. También al publicar un segundo aviso en el que afirmaba que los usuarios de Windows 2000, Windows XP y Windows Vista están, asimismo, en peligro. Ya que el código de ataque fue hecho público a una lista de correo muy amplia de personas, los investigadores de seguridad afirman que ya se ha dado el pistoletazo de salida y la carrera ha comenzado.

“Se trata, claramente, de una vulnerabilidad crítica y se está haciendo cada vez más peligrosa”, ha declarado Ben Greenbaum, responsable de investigación senior del equipo de respuestas de seguridad de Symantec, quien continúa explicando que “se trata de una carrera, realmente lo es”. Así es como describe el fenómeno que se está produciendo entre los hackers una vez conocida la vulnerabilidad.

En este punto coincide Wolfgang Kandek, responsable de seguridad de Qualys. “Definitivamente, estamos ante un tipo de carrera. Es una cuestión de si Microsoft puede solucionarlo antes de que los hackers desarrollen algo realmente peligroso”. De hecho, según Kandek, variantes del código de ataque original ya han aparecido en la Web. “De modo que los atacantes ya están trabajando en nuevas versiones del mismo”.

Greenbaum se hace eco de las palabras de Kandek, al afirmar que el fallo original era dudoso. “Según nuestras pruebas, el código publicado sólo funciona contra ciertas plataformas. Por ello,los hackers tendrán que trabajar en desarrollar una versión más fiable”. Así las cosas, la tarea que tienen por delante no va a ser fácil, pero sí puede realizarse sin demasiada dificultad, explica Greenbaum, quien ha descrito la creación de un ataque como un punto entre dos polos. “No será fácil, pero tampoco se trata del Santo Grial”.

Desde Microsoft han ofrecido diferentes modos para que los usuarios protejan sus PC hasta que un parche esté disponible. Entre estas soluciones se encuentra la posibilidad de poner en marcha la característica de seguridad DEP, (data execution prevention) en IE6 y en IE7, para impulsar las capacidades de seguridad del navegador. Esta posibilidad ha sido la más implantada por diferentes compañías de seguridad, como un modo de minimizar la posibilidad de sufrir ataques a partir de este fallo. Sin embargo, Kandek no cree que este tipo de medidas sean suficientes. “Estas mitigaciones son muy complicadas y no son muy viables para la mayor parte de los usuarios. Para los clientes, poner y quitar esto puede hacer que no les funcione el navegador”.

Otra opción, sugerida por Microsoft, es instalar IE8, que no contiene esta vulnerabilidad. Es una posibilidad que los usuarios deberían tener en cuenta y que, según Kandek, deberían poner en marcha, aunque es difícil cuando no imposible, que los trabajadores puedan cambiar el navegador de sus equipos empresariales. “Puedo pasarme a IE8 en casa, y los usuarios domésticos deberían hacerlo, pero los empleados no pueden hacerlo en sus equipos empresariales”.

Microsoft lanzará sus actualizaciones de seguridad habituales en dos semanas, concretamente, el 8 de diciembre, pero la mayoría de los investigadores de seguridad no creen que la compañía llegue a solucionar este problema para entonces. “No creo que eso ocurra. IE es una pieza de software crítica y Microsoft querrá probar el parche de manera exhaustiva antes de hacerlo público”, ha declarado Kandek.

Históricamente, Microsoft tarda alrededor de un mes o más tiempo en lanzar un parche para una vulnerabilidad conocida de IE. En raras ocasiones ha lanzado una actualización fuera de fecha, es decir, fuera del segundo martes de cada mes. Además, a día de hoy, desde la compañía afirman no haber tenido evidencias de ataques que utilicen el código publicado, algo que desde Symantec también confirman. Aunque Greenbaum también matiza que “no hay duda de que se están produciendo movimientos en este sentido y los atacantes están probando las aguas para ver cómo funcionan sus respectivas agresiones”. 

25/11/2009 Paula Bardera

Microsoft aprovechará el evento del Mobile World Congress de Barcelona para lanzar la versión de prueba de su próximo sistema ...  [noticia completa]

Dirigido especialmente a pequeñas empresas y emprendedores, el escritorio profesional en la nube creado por Anfix permite acceder a través de un navegador a una amplia variedad de herramientas de gestión de fácil uso, seguras y a un bajo coste, sin necesidad de instalaciones ni backups. La herramienta será gratuita para empresas de nueva creación, las que facturen menos de una cantidad determinada, ONGs y centros de formación. ...  [noticia completa]

Un estudio de Juniper Research deja claro que las aplicaciones móviles son una oportunidad importante de negocio. Es más, según el estudio, los ingresos superarán los 50.000 millones de dólares en 2016, gracias a la masiva adopción de smartphones y tablets. ...  [noticia completa]

Intel renueva sus discos de memoria de estado sólido SSD con la nueva familia 520 SSD, integrando nuevas NAND Flash más rápidas y la nueva interfaz de conexión SATA ...  [noticia completa]

Samsung Mobile Display y Corning han firmado un acuerdo mediante el cual en adelante formarán una sociedad con sede en Corea que permitirá fabricar sustratos de cristal que serán utilizados en los dispositivos con pantallas ...  [noticia completa]

Jeffries ha reducido sus previsiones de ventas de tablets para 2012. En total se comercializarán 125 millones de tablets, 25 millones menos de lo que había previsto inicialmente. ...  [noticia completa]

Apple enseñará su sexta generación de smartphones en la Conferencia Mundial de Desarrolladores, la ...  [noticia completa]

La compañía se centra en el mercado de Ultrabooks y promueve portátiles súper ligeros, con baterías de larga duración y más baratos que los de la firma Intel, según los ...  [noticia completa]

La CEO de HP, Meg Whitman, ha confirmado en una entrevista que la compañía lanzará nuevos tablets con el sistema operativo webOS. Además, la intención de HP también es poner en el mercado tablets que utilicen el próximo sistema operativo de Microsoft, Windows ...  [noticia completa]

Microsoft tiene planes de integrar más tecnologías actuales en su próximo sistema operativo para móviles. Poco a poco van trascendiendo algunos detalles al respecto. ...  [noticia completa]