Trend Micro ha recibido reportes de diversos sitios que toman ventaja de la nueva vulnerabilidad llamada Internet Explorer Zero-day (IE 0-day), conjuntamente con un “kit” para atacantes Web. Anteriormente, los estuches para atacantes Web se utilizaban comúnmente con las vulnerabilidades conocidas de los navegadores, muchas de las cuales ya habían sido debidamente corregidas por Microsoft. Ahora que éstas se dirigen hacia el nuevo vector de infecciones, muchos usuarios pueden ser vulnerables.
El Web Attacker es un equipo de herramientas que anuncia y vende una pandilla rusa, y es un conjunto de herramientas utilizado para propagar diferentes tipos de software espía. Además de estar diseñado para ayudar a comerciantes mal intencionados, se vende con consignas como “Asegúrate de comprar el original Web Attacker”, dando a entender que tiene competidores menores. El costo va desde los15 hasta los 300 dólares, dependiendo del tipo de servicio que se requiera.
“El hecho de que oferten diferentes niveles de precios, nos da una idea de qué tan grande es el negocio” comenta Luis Fernando Garzón, Gerente Mid Size para Colombia de Trend Micro. “Es una empresa completa de mercadeo, con sitios de soporte técnico”.
En los foros de soporte técnico, el proveedor ofrece una guía para evadir técnicas preventivas, y recomienda las novedades de lo que los programas antivirus no detectan en los ataques de sus clientes.
“La información que ofrecen es un sueño para los administradores de redes, ya que son capaces de exponer temas que los administradores desearían conocer: qué exploradores, aplicaciones, firewall, y programas anti virus están instalados en un sistema, para poder clasificar esa información y realizar un análisis de datos” mencionó Garzón.
“Puedes dirigir tipos de ataque, ubicación, todo. Hay dinero impulsando estas actividades, mucho dinero a su alrededor. Aparentemente, como si no hubiera reglas en Rusia; este grupo parece como de la mafia rusa”, cometa el especialista de Trend Micro.
El primer reporte de este “kit” para atacantes Web fue en septiembre de 2006. La mayoría del software malicioso se encuentra hospedado en sitios de pornografía rusos.
Tan pronto como se descubre una nueva vulnerabilidad, los vendedores de Web Attacker son de los primeros en desarrollar código para aprovecharla. Luego lo publican en sitios de Internet y utilizan gusanos y redes robot para enviar spam. Si el destinatario de los mensajes entra en esos sitios de Internet, y si su sistema no está actualizado, el código se ejecuta e infecta sus computadoras. El beneficio financiero proviene de ser el primero en explotar las vulnerabilidades, y por el número de instalaciones exitosas de Web Attacker.
“Desafortunadamente, si alguien te envía un enlace a un sitio Web con la amenaza o un correo basura con un link uno de a esos sitios, difícilmente lo sabrás” comentó el ejecutivo. “Este ataque se puede desplegar masivamente, o de forma dirigida. Puedes enviar correo en formato html. Técnicamente, está vinculado a cualquier sitio en que se encuentre alojado el código. El consejo para prevenir esto, es siempre leer los mensajes en formato de texto sin formato”
Los proveedores de seguridad conocen el fallo Zero-Day Internet Explorer como CVE 2006-4868, y Microsoft se refiere a él como MS06-055. La vulnerabilidad existe en el sistema de análisis de documentos de vectores. Físicamente, la vulnerabilidad utiliza VML (Vector Markup Language, un formato usado por las nuevas páginas Web, específicamente para XML) y se ejecuta al colocar el código que aprovecha esa vulnerabilidad en sitios de Internet. El fallo trabaja en páginas desarrolladas especialmente para explotar ese fallo.
Si usted se ha inscrito con privilegios de administrador cuando comienza la infección, la amenaza puede incluso borrar nuevas cuentas. “La Falla de Día Cero no consiste sólo en la ejecución de un programa; hace posible que al instalarse el programa, tome el mismo nivel de seguridad que usted tiene definido en el momento de la infección”, asegura Luis Fernando Garzón.
“La mayoría de los usuarios trabajan en su computador con privilegios de administrador, de manera que pueden crear nuevas cuentas y realizar muchas otras actividades. Como herederos de estos privilegios, los usuarios corporativos pueden no verse afectados, especialmente si existen políticas que limiten a los usuarios. Pero si se instala en una computadora portátil a nivel de administrador, cuando esa laptop ingresa en el dominio de la empresa, lo hace con ese mismo nivel, por lo que el atacante puede utilizar la vulnerabilidad remotamente, de la misma forma que el propio administrador”.
La vulnerabilidad afecta todo el software de Microsoft, desde XP Service Pack 1 y 2, Windows 2003 Service Pack 1, Server 2003 para sistemas basados en Itanium con Service Pack 1, así como a sistemas de 64 bits. “No importa si utilizas sistemas de 64 bits o si tienes el último service pack” complementó Garzón. “Básicamente es otro desbordamiento de memoria, que sin embargo permite la ejecución remota de código. Se envía en algunos datos que no pueden ser manipulados por el sistema. Este tipo de ataques han sucedido por años.”
La vulnerabilidad afecta también la versión 5 del Explorador de Internet y la versión 6, Service Pack 1, así como Windows 2000, Service Pack 4. “Trabaja a través de Internet Explorer (IE), no del Sistema Operativo Windows” comenta Garzón. “Últimamente IE está aún más incrustado en Server 2003. El explorador está tan integrado en el sistema operativo, que no hay mucho más que hacer, excepto aplicar los parches de seguridad.”
La actualización de seguridad es el único remedio para los usuarios de Windows 2000, a menos que estén dispuestos a cambiar a un navegador más seguro como Firefox. Los usuarios de Windows XP y Windows 2003 únicamente pueden usar el parche, ya que el cambio de buscadores no tendrá ningún efecto.
Para protegerse de Web Attacker, hay una serie de medidas preventivas:
• Lea sus mensajes de correo electrónico como texto sin formato
• No haga clic en enlaces desconocidos
• Instala los más recientes parches y actualizaciones