1 mar 2010

Nuevo 0-day involucra al IE y pone en riesgo a usuarios de Windows XP

Microsoft confirmó el domingo que está investigando una falla no emparchada en VBScript que los hackers podrían explotar para plantar malware en máquinas con Windows XP que ejecuten el Internet Explorer (IE).

La falla podría ser usada por atacantes para inyectar código malicioso en las PC de las víctimas, dijo Maurycy Prodeus, el analista de seguridad Polaco de la firma iSEC Security Research que reveló la vulnerabilidad y publicó  el código de ataque el viernes pasado.

Los usuarios que usen IE7 o el nuevo IE8 están en riesgo, dijo Prodeus.

Microsoft señaló que ya está sobre el caso. "Microsoft está investigando una nueva vulnerabilidad pública que involucra el uso de VBScript y los archivos de ayuda de Windows dentro del Internet Explorer," dijo Jerry Bryant, un administrador en jefe del Microsoft Security Response Center (MSRC), en un correo del domingo. "El estado actual de nuestras investigaciones muestran que Windows Vista, Windows 7, Windows Server 2008, y Windows Server 2008 R2, no están afectados."

Bryant agregó que Microsoft no ha visto aún ninguna evidencia de ataques que exploten esta vulnerabilidad. Prodeus llamó a la falla una "falla de lógica", y dijo que los atacantes podrían explotarla enviando a los usuarios código malicioso disfrazado de un archivo de ayuda Windows -- tales como archivos con la extensión ".hlp" -- y luego convenciéndolos de presionar la tecla F1 cuando aparezca una ventana emergente. Calificó a la vulnerabilidad de "media" porque requiere de la interacción del usuario.

"Primero un atacante necesita forzar a una víctima a visitar una página Web maliciosa," dijo Prodeus en un correo el domingo. "La víctima debe estar usando Windows XP e Internet Explorer. Se requiere un poquito de ingeniería social para persuadir a la víctima a presionar la tecla F1 cuando aparezca una ventana emergente de VBScript."

Otro investigador de seguridad, Cesar Cerrudo, confirmó que la prueba de concepto de Prodeus funciona. "Probé la explotación y puedo confirmar que funciona en IE8 con Windows XP completamente actualizado," dijo Cerrudo, el director de la consultora de seguridad argentina Argeniss Information Security.

Cerrudo opina que la falla es más seria de lo que dice Prodeus. "Diría que la vulnerabilidad es de "alta severidad", no "mediana", dijo Cerrudo en un correo. "No es crítica porque requiere de la interacción del usuario, el usuario presionando F1 cuando aparece un mensaje de dialogo. [Pero] diría que hay una alta probabilidad de que un usuario normal apretará F1 si se le pide hacerlo, ya que el atacante puede fastidiarlo con cientos de mensajes diciéndole al usuario que presione F1 para continuar."

Según Cerrudo, el ataque de Prodeus es exitoso porque abusa de la función de VBScript "MsgBox()".

"Los archivos de ayudad de Windows están incluidos en una larga lista de a la que nos referimos como 'tipos de archivos inseguros'," reconoció Bryant de Microsoft en un seguimiento en el blog MSRC más tarde el domingo. "Esos son tipos de archivo que están diseñados para invocar automáticamente acciones durante el uso normal de los archivos. Si bien pueden ser herramientas de productividad muy valiosas, también pueden ser usadas por atacantes para intentar y comprometer un sistema."

Bryant no dio una fecha para un arreglo, pero usó el clásico discurso de Microsoft en su mensaje de correo diciendo que la compañía podría ocuparse de la vulnerabilidad con un arreglo programado regularmente, con uno llamado "actualización fuera de agenda" u otra guía.
 La próxima fecha de publicación programada de Microsoft is el 9 de marzo.

Aunque Microsoft aún no ha recomendado ninguna medida defensiva que los usuarios de Windows XP  puedan tomar hasta que haya un parche, Prodeus dice que bloqueando el puerto TCP 445 saliente bloquearía los ataques. "Sin embargo, vale la pena señalar que bloquear ese puerto no soluciona el problema, porque podría haber otro vector de ataque, por ejemplo subir un archivo arbitrario a la máquina de la víctima en una ubicación conocida usando algún agregado de navegador de terceros," dijo.

Otra forma de mitigarlo, dijo Cerrudo en un tweet el viernes, es cambiar el IE por otro navegador.

Traducción: Raúl Batista - Segu-Info
Autor: Gregg Keizer
Fuente: Computerworld

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!