Fuente: SearchSecurity.com

Microsoft publicó un parche de emergencia el pasado martes 30, el cual repara una vulnerabilidad de día cero en Internet Explorer, así como otras nueve correcciones de IE. El parche estaba previsto originalmente para el martes de parche del 13 de abril. Código para explotar la vulnerabilidad de día cero, anunciada hace tres semanas, se encuentra disponible públicamente, por lo que se insta a las empresas a aplicar el parche de inmediato.

Según el aviso de seguridad de Microsoft MS10-18, la vulnerabilidad de día cero bajo ataque podría permitir a un atacante ejecutar código de forma remota, debido a una referencia de puntero no válida en Internet Explorer. Los usuarios tendrían que visitar una página web maliciosa a través de un ataque de phishing vía correo electrónico o mensajería instantánea para descargar el exploit. Una vez logrado esto, el atacante tendría los mismos derechos de acceso que el usuario.

La vulnerabilidad de día cero sólo afecta a Internet Explorer 6 y 7, dijo Jerry Bryant, gerente del grupo de comunicaciones de respuesta, en el blog de Microsoft Response Center, e instó a los clientes actualizar a la última versión del navegador para abordar y mitigar futuros ataques contra cualquiera de los otros defectos corregidos.

Wolfgang Kandek, CTO de Qualys Inc., dijo que el parche para la vulnerabilidad de IE 6 e IE 7 debe aplicarse inmediatamente. “No se les puede parchar lo suficientemente rápido”, dijo. Microsoft dijo que ha detectado un aumento de los ataques contra esta vulnerabilidad específica, lo que provocó la publicación del parche antes del habitual lanzamiento del Martes de Parches el 13 de abril.

Las otras correcciones incluidas en el boletín corrigen fallas de ejecución remota de código y defectos de divulgación de información. La mayoría son críticas, entre ellas tres vulnerabilidades de Internet Explorer 8. Kandek no ve una buena razón para que las empresas dilaten la instalación de estos parches. Los investigadores de seguridad buenos, dijo, será capaces de producir un ataque en una semana, mediante la ingeniería inversa de una corrección.

“Incluso los usuarios de IE 8 deben aplicar esta corrección, no inmediatamente, pero tan pronto como sea posible”, dijo.

La vulnerabilidad de Internet Explorer e incluso la reciente competencia de hacking de los navegadores durante la conferencia de seguridad CanSecWest, Kandek dijo, demuestran que los navegadores están muy expuestos y deben ser endurecidos y parchados lo más rápidamente posible. “Como se puede ver, en el navegador hay un montón de maneras de engañar a un usuario para descargar un archivo malicioso y apoderarse de una máquina a través de ese mecanismo.”

El boletín no contempla la vulnerabilidad utilizada en el concurso de hacking de navegador “pwn2own” de CanSecWest. La falla se sigue investigando, dijo Microsoft.

Amrit Williams, Director de Tecnología de la empresa de gestión de seguridad BigFix, dijo que las compañías vulnerables a esta falla deben aplicar el parche de día cero o implementar controles mitigantes de inmediato. “La razón es que la mayoría de las organizaciones no están bien preparadas para responder a un brote de una vez que ocurre”, refiriéndose a su capacidad para monitorear e identificar un compromiso, poner los sistemas en cuarentena y retornarlos a la homeostasis. “Limitará el impacto o la posibilidad de un compromiso si el vector de ataque es reducido o eliminado”, agregó a través de correo electrónico.

Williams también cree que la única manera de poner fin a la rutina de gestión de “escaneo y parchado” es implementar controles que puedan aislar y segmentar aspectos de un entorno informático de los demás; aplicaciones como el navegador, por ejemplo, estar separadas del sistema operativo.

“Hasta que podamos movernos a un entorno altamente segmentado, las organizaciones tendrán que ampliar sus procesos normales de gestión de parches para incluir aplicaciones (tanto de Microsoft como de otros proveedores) y asegurar que la organización pueda responder rápidamente a los parches fuera de ciclo”, dijo.

Sin embargo, Jason Miller, gerente del equipo de seguridad y datos de Shavlik Technologies con sede en Minneapolis, insta a las empresas a permanecer en sus ciclos de pruebas de parche, si pueden, citando que un exploit de la vulnerabilidad de día cero del boletín requiere interacción del usuario, a diferencia de la vulnerabilidad crítica relacionada con el gusano Conficker – una que Microsoft corrigió con su actualización fuera de ciclo anterior. “Se podría tener una aplicación desarrollada internamente dentro de su red, y el nuevo parche aún podría afectarla y romperla.” Miller, sin embargo, cree que la vulnerabilidad debe ser parchada, tan pronto como sea posible. “Estás en una carrera contra el tiempo frente a los hackers que hay ahí afuera,” dijo.

Susan Bradley, una MVP de Microsoft y administradora de TI en Tamiyasu, Smith, Hornos y Braun Corp. en Fresno, California, esperará probar la actualización más adelante en la semana para luego instalarla en las estaciones de trabajo. Debido a que la actualización no corrige los errores identificados en CanSecWest, Bradley siente que no puede confiar únicamente en parches y debe disponer de otros medios para proteger la navegación. “Eso significa asegurar que no se esté ejecutando como administrador, utilizar filtrado Web en el perímetro, y el uso de servicios como www.opendns.com para bloquear categorías de sitios web de riesgo,” dijo por correo electrónico.

El aviso afirma que los clientes que habiliten las actualizaciones automáticas no tendrán que aplicar el parche manualmente. Para aquellos que parchan manualmente, Microsoft recomienda que los clientes apliquen la actualización inmediatamente.

De acuerdo con el aviso, esta actualización de seguridad se considera “crítica” para todas las versiones soportadas de Internet Explorer: Internet Explorer 5.01, Internet Explorer 6 Service Pack 1, Internet Explorer 6 en clientes Windows, Internet Explorer 7 e Internet Explorer 8 en clientes Windows. La actualización está calificada como “Importante” para Internet Explorer 6 en los servidores de Windows y “moderada” para Internet Explorer 8 en los servidores de Windows.