Sobre la última vulnerabilidad de Internet Explorer: consejos prácticos para usuarios

Buenas,

Lo que comenzó siendo un affaire entre Google y China va tomando dimensiones cada vez más relevantes. Aunque aparentemente sólo Google y Adobe Systems han confirmado oficialmente haber sufrido ataques especialmente dirigidos al robo de propiedad intelectual, la lista de empresas notorias afectadas parece contener otros selectos miembros entre los que se se podrían encontrar Symantec, Yahoo! y Dow Chemical, entre un total de 34 organizaciones.

Entre tanto, los responsables del producto siguen sin tener claro cómo atajar el problema, motivo por el que empiezan a oirse voces relevantes, como la del propio Gobierno alemán, que dice lo que nadie se atreve a decir: en estos precisos momentos, el consejo a dar a los usuarios de Internet Explorer es dejar de usarlo hasta que las condiciones de seguridad estén mínimamente garantizadas para los usuarios.

Para poner las cosas todavía más difíciles, apuntan en ISC SANS que el código ha sido finalmente publicado, y que el origen del problema es una vulnerabilidad en mshtml.dll, componente del navegador encargado de renderizar las páginas en Internet Explorer. Este código malicioso funciona plenamente en Internet Explorer 6, pero que en caso de tener Data Execution Protection (DEP) activado para el navegador, parece que el exploit no ejecuta código en las versiones 7 y 8.

Como es habitual una vez que un exploit es liberado públicamente, ha faltado poco para que los chicos de Metasploit incluyan el código en sus herramientas para que los responsables de seguridad puedan evaluar en cada caso particular si sus sistemas están afectados.

Consejos prácticos para usuarios

Orientativamente, porque siempre puede haber despliegues en los que DEP esté descativado para Internet Explorer, este modelo de protección fue introducido en Windows XP Service Pack 2, aunque desde estas líneas invito a los lectores a usar Metasploit para verificar su estado de vulnerabilidad. Aquellos que no tengan el conocimiento suficiente, deberían intentar consultar la tabla ofrecida por el fabricante, en la que se consideran vulnerables las combinaciones Windows 2000 y Windows XP con Internet Explorer 6, y potencialmente vulnerables las instalaciones de Windows XP e Internet Explorer 7.

De todos modos, todo lo anterior está condicionado a que DEP para Internet Explorer esté activado, y eso sólo ocurre por defecto en Internet Explorer 8 que corran bajo XP Service Pack 3, Windows Vista Service Pack 1 y superiores, así como en Windows 7. A modo de resumen, toma nota de las siguientes recomendaciones:

  • Si careces de conocimiento técnico suficiente o tienes dudas, no utilices Internet Explorer. Haz uso de un navegador alternativo hasta que el fabricante distribuya un parche para su problema. Deberías recibir un aviso de la disponibilidad del parche en las actalizaciones de Windows (las cuales espero tengas activadas en modo automático). ¿Cuándo sucederá esto? No lo sé, como muy tarde, debería distribuirse el parche antes del próximo 12 de febrero, en el ciclo de actualizaciones mensual de Microsoft, aunque no es descartable que la solución esté disponible antes.
  • Si tienes conocimiento suficiente y quieres/necesitas Internet Explorer, habilita DEP para el navegador, y deshabilita el soporte para JavaScript en Internet Explorer (advertencia, esto tiene un impacto elevado en el funcionamiento de la mayoría de los sitios). Siempre que la compatibilidad con tus sitios Web y aplicaciones te lo permitan, trata de que el producto esté lo más actualizado posible, lo que significa especialmente alejarse de Internet Explorer 6.

Señoras y señores: lo de Google es sólo la punta del iceberg. El amigo George Kurz está haciendo un seguimiento en vivo en Twitter más que recomendable al hilo de este enorme problema que puede tener implicaciones mucho más severas que las que hoy en día conocemos.

Un saludo, y no dejéis de comentar vuestras dudas.

Alerta: Nuevo zero-day en Internet Explorer permite la contaminación remota de equipos con tan sólo visitar páginas Web

Buenas,

Un amigo me ha pasado un enlace relacionado con Internet Explorer que promete traer cola en los próximos días.

El código de este zero-day se publicó el pasado viernes en Bugtraq. Symantec ha realizado un pequeño análisis y ha confirmado la validez del mismo, recordándonos a todos que una vez que el exploit ha sido liberado es sólo cuestión de tiempo que se refine y empiece a ser usado de una manera intensiva por parte de los amigos de lo ajeno. No es descartable que la vulnerabilidad se haya estado utilizando antes de que haya visto la luz de una manera más privada, ya que es el típico caso que en los mercados se cotiza muy al alza, y por el que muchos desembolsan cantidades importantes de dinero para explotar alegremente el problema pasando totalmente inadvertidos.

Según la información publicada, que tampoco es que sea precisamente abundante, el exploit afecta a las versiones 6 y 7 de Internet Explorer con JavaScript activado. Pese a ser versiones obsoletas del navegador, se estima que en torno al 40% de la cuota de mercado en cuanto a navegadores corresponde a las versiones citadas, con lo que existe mercado más que suficiente para que los ataques se repitan sistemáticamente. De todos es conocido también que gestionar y mantener el nivel de parche no es precisamente una virtud del público en general, con lo que este factor incrementará la rentabilidad y longevidad del problema.

Mediante este ataque los atacantes sólo tienen que insertar el exploit en páginas Web bajo su control y forzar al usuario a que visite los enlaces (algo secillo de conseguir), lo que permitiría infectar a los usuarios con el mero hecho de visitar los contenidos. Parece claro que esto será utilizado para contaminar los equipos con malware financiero, y en el mejor de los casos, por llamarlo de alguna manera, para integrar máquinas en botnets.

El problema parece residir en la manera en la que Interrnet Explorer procesa la información de las hojas de estilo CSS (Cascading Style Sheets). Hasta que el fabricante solucione el problema, lo cual debería suceder relativamente pronto y probablemente, dada la extrema gravedad del problema, fuera del ciclo mensual de actualizaciones, se recomienda a los usuarios de Internet Explorer que desactiven JavaScript y que no visiten sitios Web que no sean de la más estricta confianza. Habida cuenta que las casas trabajan ya en la elaboración de firmas específicas para este problema, es extremadamente importante mantener actualizados los antivirus.

Un saludo,