Microsoft publicó tres boletines de seguridad, haciendo frente a dos vulnerabilidades críticas que afectan a Direct Show y Windows Media Player en su ronda de parches de marzo, pero dejó a los usuarios buscando una solución a la falla de MHTML.

Los tres boletines de seguridad están relacionados con un aviso que Microsoft lanzó en agosto de 2010 con respecto a la precarga de DLL, que puede permitir la ejecución remota de código, dijo Jason Miller, gerente del equipo de datos de Shavlik Technologies LLC, un proveedor de gestión de vulnerabilidades basado en St. Paul, Minnesota. La precarga de DLL es una clase bien conocida de vulnerabilidades. Permite a las aplicaciones de terceros precargar archivos compartidos en Windows, pero un error puede permitir a un atacante acceder a datos confidenciales o tomar el control de la computadora de la víctima.

Este mes hubo un solo boletín de seguridad crítico. MS11-015, que repara una grave vulnerabilidad en DirectShow y un agujero en Windows Media Player y Windows Media Center. La actualización es calificada como “crítica” para casi todas las ediciones compatibles de Windows y Windows Media Center TV Pack para Windows Vista. El boletín es calificado como “importante” para Windows Server 2008 R2.

La vulnerabilidad crítica podría permitir a un atacante llevar a cabo la ejecución remota de código al engañar a una víctima para que visite una página web con un archivo malicioso de Microsoft Digital Video Recording (DVR-MS). La vulnerabilidad de Windows Media Player permite al atacante explotar el agujero al conseguir que una víctima abra un archivo de video malicioso a través de un navegador.

“MS11-015 es muy importante, ya que la vulnerabilidad puede ser explotada sin llegar a ver el video,” dijo Wolfgang Kandek, director de tecnología de Qualys Inc., un proveedor de gestión de vulnerabilidades basado en Redwood Shores, California.

Microsoft normalmente califica estas vulnerabilidades como “importantes”, pero debido a que este ataque en particular no requiere ninguna intervención del usuario (como es normal en este tipo de vulnerabilidad) y debido a su naturaleza “drive-by”, la calificación del parche se ha actualizado a “crítica”, Kandek señaló en un blog.

Otros problemas de precarga de DLL fueron reparados en MS11-016, que se considera importante ya que sólo afecta a archivos Microsoft Groove y .vgc o .gta. Groove es una aplicación de Microsoft SharePoint para compartir espacio de trabajo de Office. MS11-017 repara una vulnerabilidad de Windows Remote Desktop Protocol en donde la apertura de un archivo .rdp malicioso en una red que contiene un archivo DLL malicioso puede provocar la ejecución remota de código.

La falla de MHTML permanece
Notablemente ausente de la ración de parches de este mes está la solución casi enigmática para la vulnerabilidad MHTML que ha permanecido durante algún tiempo. Amol Sarwate, un director de laboratorio de vulnerabilidades de Qualys dijo que los ingenieros de Microsoft están probablemente “probando una corrección” de que es importante no dañar o impedir la funcionalidad cuando el parche sea desplegado.

El problema de divulgación de información de MHTML no ha sido parchado en los últimos dos ciclos de revisión de los martes de parche. Código de prueba de concepto que ataca la falla de día cero de MHTML fue publicado en enero. Microsoft dijo que una víctima puede ser infectada al hacer clic en un enlace malicioso en un sitio web que lleva a un documento HTML. La técnica inyecta código JavaScript malicioso en el navegador de la víctima, dando al atacante la posibilidad de “falsificar contenido, divulgar información o realizar cualquier acción que el usuario pueda realizar en el sitio web afectado en nombre del usuario atacado.”

Shavlik Miller dijo que estaba sorprendido por la ausencia de una corrección para la vulnerabilidad, pero Microsoft no ha visto un “pico” en la cantidad de ataques utilizando la falla, lo que reduce la prioridad de apresurar la publicación.

Microsoft emitió 12 boletines de seguridad el pasado martes, corrigiendo 22 defectos en su línea de productos, entre ellos dos vulnerabilidades críticas para las que ya se encuentra disponible públicamente código de explotación, y una tercera que se informó de forma privada.

El número de vulnerabilidades se ha reducido en relación a diciembre, el último “gran mes” del gigante del software, durante el cual se corrigieron 40 errores. Sin embargo, dos defectos tratados en las actualizaciones del martes de parches de febrero requieren atención inmediata según Jason Miller, gerente del equipo de datos de Shavlik Technologies LLC, un proveedor de gestión de vulnerabilidades basado en St. Paul, Minnesota.

Miller dijo que si bien puede haber disponibles unos cuantos exploits conocidos públicamente, los administradores de TI tienen todo lo que se esperaba de Microsoft este mes.

De las tres vulnerabilidades catalogadas como críticas, las dos más importantes, según Miller, son la MS11-003, la cual repara dos vulnerabilidades en Internet Explorer reveladas públicamente, y MS11-006, una falla de procesamiento de gráficos en Windows Shell.

La falla de Internet Explorer, que Miller dijo que debe ser reparada inmediatamente, es aprovechada mediante la apertura de un archivo de librería especialmente diseñado cuando el usuario abre un archivo HTML; la misma también puede ser activada cuando el usuario navega a una página web en Internet Explorer. El archivo permite la ejecución remota de código y los atacantes pueden utilizar esta vulnerabilidad para otorgarse los mismos derechos de acceso del usuario.

“Prácticamente cada vez que se detecta una vulnerabilidad crítica en Internet Explorer se debe aplicar el parche de inmediato, porque ahí es donde los malhechores van a atacar”, dijo Miller. “Ellos quieren atacar a las personas que utilizan navegadores, es un mejor grupo para ellos encontrar a alguien que puedan comprometer.”

La actualización afecta a todas las versiones soportadas de Internet Explorer.

El fallo de procesamiento de gráficos tiene que ver con la forma en que Windows despliega las imágenes en miniatura (thumbnails). Este error en el procesador de gráficos de Windows Shell podría permitir a un atacante obtener los mismos derechos de acceso del usuario conectado al hacer que el usuario visualice una imagen en miniatura especialmente diseñada, según Microsoft.

“Para ambos boletines ha sido publicado código de explotación por lo que se han registrado ataques limitados”, dijo Miller.

La actualización afecta a Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008.

Una tercera actualización crítica, reportada de forma privada, se une a la larga lista de parches publicada por Microsoft en diciembre contra la vulnerabilidad del controlador Windows OpenType Font. Mientras que las correcciones de diciembre se centraron en prevenir que un tipo de letra cargado de malware tome el control de su sistema a través de Internet Explorer, las actualizaciones de febrero se centran en el controlador OpenType Compact Font Format. Esta vulnerabilidad requiere un poco más de ingeniería social y trabajo por parte del atacante, ya que tendría que convencer al usuario para que visite una página web creada especialmente con el exploit del tipo de letra.

La actualización se considera crítica para los usuarios de Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2. Se considera importante para Windows XP y Windows Server 2003.

La vulnerabilidad de MHTML continúa
“A pesar de que un par de problemas de seguridad de día cero se han parchado, todavía no hemos recibido un parche para los problemas de MHTML que afectan a todas las versiones de Internet Explorer, lo que significa que podemos esperar un igualmente perturbador Martes de parches en marzo”, dijo en un comunicado Paul Henry, analista de seguridad y forense del proveedor de administración de vulnerabilidades Lumension.

El código de explotación surgió en enero, el cual ataca una vulnerabilidad en el manejador de protocolo MHTML. La falla afecta a todas las versiones de Windows, una víctima puede ser infectada al hacer clic en un enlace malicioso de un sitio web que dirija a un documento HTML. La técnica inyecta código JavaScript malicioso en el navegador de la víctima, dando al atacante la posibilidad de “falsificar contenido, divulgar información o realizar cualquier acción que el usuario pueda realizar en el sitio web afectado en nombre del usuario atacado”, dijo Microsoft en su aviso sobre la falla.

Miller dijo que sería difícil determinar lo que está programado para marzo, ya que este suele ser un mes “más ligero” en la alternancia de la carga de trabajo de Microsoft. Miller continuó diciendo que la empresa tiene pendiente por lo menos un aviso desde hace aproximadamente un mes, pero que por ahora no era una amenaza crítica.

“En los últimos 4 o 5 meses ellos han estado trabajando muy estrechamente con los socios de investigación de seguridad”, dijo Miller. “Sólo para incluso jugar a Nostradamus y tratar de adivinar lo que va a venir próximamente es muy interesante … ahora aún sus meses ligeros son grandes de manera que para el mes que viene yo no podría decir lo que viene, pero sé que tienen mucho en su cola.

Las firmas de seguridad están advirtiendo sobre un nuevo código de explotación que ataca una vulnerabilidad de día cero en Microsoft Internet Explorer, lo que permite a los atacantes tomar el control completo de un sistema vulnerable.

La vulnerabilidad podría ser utilizada por los atacantes para ejecutar ataques “drive-by”. La nueva falla fue reportada por la empresa francesa de seguridad VUPEN Security el 9 de diciembre y afecta a Internet Explorer 6, 7 y 8 corriendo en Windows XP, Windows Vista y Windows 7.

VUPEN dio a la vulnerabilidad la calificación de “crítica”. El navegador contiene un defecto que causa un error de memoria en el motor de análisis de HTML de Internet Explorer cuando procesa reglas de importación de Cascading Style Sheet (CSS) en una página Web, de acuerdo con el aviso de VUPEN. Los atacantes pueden crear una página web maliciosa o inyectar código en sitios web vulnerables para atacar la falla.

La vulnerabilidad se ha añadido el miércoles como un exploit en el Metasploit Framework.

Microsoft bloqueó cinco vulnerabilidades críticas de Internet Explorer en su ronda de parches mensuales de diciembre. Algunos de los defectos parchados por Microsoft estaban siendo utilizados por atacantes en ataques drive-by.

Microsoft corrigió vulnerabilidades en Forefront Unified Access Gateway y fallas en Microsoft Office y PowerPoint como parte de su programa de parches mensuales.

El gigante del software publicó tres boletines de seguridad, el pasado martes, haciendo frente a 11 vulnerabilidades en su ciclo de parches de noviembre. Una de las cinco vulnerabilidades corregidas en Microsoft Office podría permitir a un atacante ejecutar código remotamente en la máquina de la víctima, logrando que el usuario abra un mensaje de correo electrónico en formato de texto enriquecido. La actualización de seguridad se considera “crítica” para Microsoft Office 2007 y 2010.

Josh Abraham, un investigador de seguridad del proveedor de gestión de vulnerabilidades con sede en Boston Rapid7 LLC, dijo que la vulnerabilidad crítica podría permitir a los ciberdelincuentes llevar a cabo ataques de malware “drive-by”.

Microsoft también abordó cuatro vulnerabilidades de seguridad en Forefront Unified Access Gateway. El gateway es un VPN SSL, utilizado para dar a los empleados acceso remoto seguro a los sistemas y aplicaciones empresariales. El UAG es vulnerable a un defecto de suplantación de identidad que permite a los empleados malintencionados aumentar sus privilegios de usuario. El boletín es calificado como “importante” para todas las versiones de Forefront Unified Access Gateway 2010.

“Sin la corrección, los administradores que hagan clic en enlaces maliciosos de cross-site scripting podrían provocar la ejecución de código que permite a atacantes crear usuarios o cambiar la configuración en el servidor de Microsoft Forefront,” escribió Wolfgang Kandek, director de tecnología de Qualys Inc., un proveedor de gestión de vulnerabilidades basado en Redwood Shores, California; en el blog de la compañía.

Además, Microsoft corrigió dos defectos de PowerPoint. Microsoft dijo que las fallas podrían permitir a un atacante ejecutar código remotamente en la máquina de la víctima después de conseguir que el usuario abra un archivo malicioso de PowerPoint. A pesar de ser calificado como “importante”, Microsoft ha dado a las vulnerabilidades una calificación de explotación de nivel 1, lo que significa que es probable que surja código público que intente explotar las vulnerabilidades. La actualización afecta a Microsoft PowerPoint 2002, 2003 y Microsoft Office 2004 para Mac.

Existe una vulnerabilidad de día cero de Internet Explorer, reconocida por Microsoft la semana pasada, la cual sigue sin parche. Los expertos en seguridad advirtieron que las soluciones temporales descritas en el aviso podrían afectar el funcionamiento de algunas páginas web.

Microsoft publicará tres boletines la próxima semana, reparando 11 vulnerabilidades en Office y Forefront Unified Access Gateway.

En la notificación anticipada publicada el jueves por el gigante del software, Microsoft dijo que un boletín que aborda las vulnerabilidades de Office es calificado como “crítico”. El boletín crítico afecta a Microsoft Office 2007 y 2010.

Un boletín que aborda una falla que podría permitir una elevación de privilegios en Forefront UAG 2010 es calificado como “Importante”. Una tercera actualización, calificada de “importante” reparará errores en Microsoft PowerPoint que podrían ser explotados de forma remota por un atacante.

Las actualizaciones se publicarán el martes como parte del proceso regular de parches mensuales de Microsoft.

Los ingenieros están trabajando en un parche para una vulnerabilidad de día cero en Internet Explorer que está siendo atacada de forma activa mediante ataques drive-by. Microsoft publicó un aviso de alerta el martes sobre un error de asignación de memoria, presente en Internet Explorer 6, 7 y 8, el cual podría permitir a un atacante ejecutar código y lograr acceso a la máquina de la víctima.

Microsoft está advirtiendo a los clientes sobre una nueva vulnerabilidad de día cero en Internet Explorer que está siendo activamente atacada utilizando ataques drive-by (pasajeros).

Un error de asignación de memoria, presente en Internet Explorer 6, 7 y 8 podría permitir a un atacante ejecutar código y acceder a la máquina de la víctima. Un sitio web de ataque fue descubierto que intentaba explotar la falla de IE mediante ataques pasajeros. Internet Explorer 9 beta no se ve afectado por el problema, dijo Microsoft.

“El código de explotación fue descubierto en un único sitio web que ya no aloja el código malicioso”, dijo Jerry Bryant, gerente de grupo de comunicaciones de respuesta del Microsoft Trustworthy Computing Group.

En una entrada de blog, Bryant dijo que los ingenieros estaban trabajando en una solución automatizada de reparación temporal hasta que un parche permanente pueda ser emitido. En la actualidad, el problema “no cumple los criterios para una emisión fuera de ciclo”, dijo Bryant.

Los ataques pasajeros se han convertido en un método cada vez más común de ataque. Los usuarios son a menudo atraídos a visitar un sitio web malicioso en un mensaje de correo electrónico, un mensaje instantáneo o a través de resultados de búsqueda envenenados. A menudo, sitios web legítimos son comprometidos para albergar código de ataque. Blogs, redes sociales y foros de Internet también pueden ser utilizados para alojar ataques pasajeros.

El aviso de seguridad de Microsoft destacó una serie de soluciones para mitigar la amenaza que representa la vulnerabilidad, que incluyen la lectura de mensajes de correo electrónico en texto plano, la aplicación de una hoja de estilo en cascada personalizada como un reemplazo al leer los datos HTML, activar la prevención de ejecución de datos (DEP por sus siglas en inglés) en IE 7 y aplicar la Enhanced Mitigation Experience Toolkit (EMET).

Microsoft dijo que la vulnerabilidad podría ser atacada a través de sitios web de ataques pasajeros o mediante el compromiso de sitios web que aceptan o alojan contenido proporcionado por el usuario, como los blogs y redes sociales. Además, los anuncios de visualización en sitios web pueden ser comprometidos para lanzar un exploit que ataque la falla.

“En todos los casos, sin embargo, un atacante no podría obligar a los usuarios a visitar estos sitios web”, dijo Microsoft. “En cambio, el atacante tendría que convencer a los usuarios a visitar el sitio web, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o en un mensaje de mensajería instantánea que lleve a los usuarios a la página web del atacante.”

Un ataque exitoso podría dar a los ciberdelincuentes el control completo de la máquina de la víctima y la posibilidad de descargar malware adicional o intentar obtener acceso a la red.

Microsoft publicó 16 boletines de seguridad el martes para reparar 49 vulnerabilidades de seguridad, incluyendo seis críticas, lo que constituye una emisión de parches récord.

La actualización masiva incluye correcciones críticas para Internet Explorer, Windows y Microsoft. NET Framework. También incluye una actualización para corregir una vulnerabilidad explotada por el troyano Stuxnet, el malware que ataca el software de sistemas de control industrial de Siemens.

La publicación de parches del martes rompe el récord anterior de 34 vulnerabilidades, que se estableció por primera vez en octubre de 2009 e igualado en agosto, según McAfee.

Una actualización acumulativa para Internet Explorer, MS10-071 repara 10 vulnerabilidades de seguridad, de las cuales la más grave podría permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada usando Internet Explorer, según Microsoft.

Las vulnerabilidades son fáciles de explotar para los atacantes, dijo Wolfgang Kandek, director de tecnología de Qualys Inc., con sede en Redwood Shores, California. “Es por esto que quizás se debería aplicar el parche tan pronto como sea posible”, dijo.

MS10-076, que soluciona una vulnerabilidad en un componente de Windows – el Embedded OpenType (EOT) Font Engine – también es fácilmente explotada por los atacantes, ya que no requiere mucha interacción por parte del usuario, Kandek dijo. Microsoft dijo que un atacante que explote la vulnerabilidad podría lograr el control completo del sistema de forma remota.

Jason Miller, gerente de datos y equipo de seguridad de la empresa de gestión de parches Shavlik Technologies, con sede en Saint Paul, Minnesota, dijo que MS10-071 y MS10-076 son los dos boletines que deben alarmar a los administradores. Es de vital importancia reparar cualquier vulnerabilidad del navegador Web de forma rápida debido a que los sitios web maliciosos que explotan los navegadores no actualizados son un vector de ataque común, dijo. EOT es un tipo de letra comúnmente utilizado en páginas web, señaló.

Clasificadas por Microsoft como “importantes”, MS10-073 repara varias vulnerabilidades en los controladores de modo kernel de Windows, incluyendo una vulnerabilidad de elevación de privilegios relacionada con Stuxnet. Según Microsoft, un atacante debe tener credenciales de acceso válidos y ser capaz de iniciar una sesión local para explotar la vulnerabilidad.

Kandek dijo que Stuxnet utiliza la falla para obtener privilegios de administrador en un sistema y tomar el control del mismo. La actualización del martes corrige la vulnerabilidad en Windows XP, pero no en Vista, dijo. Microsoft dijo que lanzará una segunda y última actualización para reparar las vulnerabilidades de elevación de privilegios explotadas por Stuxnet en un boletín próximo.

La actualización de Microsoft de septiembre incluye una solución para una vulnerabilidad crítica de print-sharing atacada activamente en Internet por el troyano Stuxnet en julio pasado. La compañía también publicó un parche de emergencia el 30 de julio para reparar una vulnerabilidad de día cero en el Shell de Windows que estaba siendo utilizada por Stuxnet.

El nivel de sofisticación de Stuxnet ha impresionado los investigadores de seguridad, Kandek dijo. Se adapta a diferentes situaciones usando una mezcla de vulnerabilidades, dijo. “Fue desarrollado de una manera muy inteligente”.

MS10-077, calificada como “crítica”, corrige una vulnerabilidad en el framework Microsoft. NET que podría permitir la ejecución remota de código en un sistema cliente si un usuario visita una página web maliciosa utilizando un navegador Web que pueda ejecutar XAML Browser Applications (XBAPs), dijo Microsoft. Miller de Shavlik señaló que la falla sólo afecta a sistemas operativos de 64 bits.

En general, los boletines de seguridad de Microsoft de este mes afectan únicamente a software viejo, dijo Miller. Por ejemplo, el Internet Explorer 7 y 8 no se ven afectados por las vulnerabilidades de seguridad corregidas en el acumulado de parches de IE. Miller recomendó que las empresas actualicen a versiones de software más recientes, si es posible.

Con la actualización del martes, Microsoft ha publicado 86 boletines de seguridad en lo que va de año, comparado con un total de 74 el año pasado, dijo.

Microsoft está investigando reportes de una nueva vulnerabilidad en Internet Explorer 8, que podría permitir a un atacante  robar datos u ocasionar daños en algunas redes sociales, de acuerdo con una revelación pública de la falla publicada en la lista de correo Full Disclosure.

Una falla de CSS en Internet Explorer permite a un atacante redireccionar el navegador a un sitio Web malicioso y forzar a la víctima a publicar un mensaje en Twitter y otras redes sociales. El ataque de origen cruzado afecta la manera en que un navegador maneja hojas de estilo CSS. Puede tomar control de la sesión de un usuario autenticado y robar información personal, incluso si JavaScript está deshabilitado.

La falla de IE fue divulgada en la lista de correo por el ingeniero de Google Chris Evans, un investigador de seguridad que documenta brechas de seguridad que encuentra en pruebas de penetración, auditoría de código y análisis de caja negra.

El ataque de origen cruzado dirigido a CSS  fue divulgado en diciembre. Desde entonces, otros fabricantes de navegadores como Apple, Google, Mozilla y Opera han corregido el problema.

“No he tenido éxito en persuadir a los proveedores para que emitan una solución”, dijo Evans. “Esto es puramente una falla de IE, no es culpa de Twitter y no hay una solución temporal viable”.

Evans dijo que la vulnerabilidad podría haber sido conocida desde 2008 y probablemente afecta a las versiones anteriores de IE. Para aprovechar esta vulnerabilidad un atacante requiere que la  víctima haga click en un enlace. Evans escribió que en su escenario de prueba, las direcciones URL abreviadas podrían ser utilizadas y suponen un serio problema.

En una entrada de Twitter, Microsoft reconoció que estaba investigando informes públicos sobre una nueva vulnerabilidad.

Falla de interceptación de la carga de DLL

Microsoft también ha estado trabajando en reportes sobre un defecto de interceptación de DLL. El gigante del software publicó una actualización de un aviso de seguridad la semana pasada, advirtiendo a los usuarios que deben instalar una nueva herramienta y una solución automatizada para corregir el problema temporalmente.

La vulnerabilidad afecta a las aplicaciones, incluyendo aplicaciones de terceros, que comparten archivos en Windows. El gigante del software dijo que solucionaría el problema en sus aplicaciones a través del tiempo. Un atacante podría utilizar la vulnerabilidad para ejecutar código en la máquina de una víctima, pero Microsoft calificó la falla como “importante” porque se necesitaría la intervención del usuario. El usuario tendría que hacer click en una serie de advertencias y pantallas para abrir un archivo malicioso que intente aprovechar esta vulnerabilidad, dijo Microsoft.

Microsoft publicó un aviso de seguridad el Jueves tarde, advirtiendo a los usuarios de SharePoint de una nueva vulnerabilidad de día cero en SharePoint que podría permitir la elevación de privilegios.

Jerry Bryant, gerente de grupo de comunicaciones de respuesta de Microsoft, dijo que el gigante del software no estaba al tanto de algún ataque activo intentando explotar la falla. El cross-site scripting (XSS) afecta a SharePoint Server 2007 y SharePoint Services 3.0. Código de prueba de concepto está disponible públicamente. La vulnerabilidad puede ser explotada en un ataque basado en el navegador.

El aviso de Microsoft incluye una solución para mitigar la amenaza. Microsoft dijo que los usuarios pueden restringir el acceso mediante la adición de una lista de control de acceso a los archivos XML Help.aspx de SharePoint. La solución, sin embargo, deshabilita todas las funciones de ayuda del servidor de SharePoint, dijo Microsoft.

Los servidores se encuentran bajo riesgo reducido ante clientes Internet Explorer 8, dijo Microsoft. IE 8 incluye un filtro de XSS en la zona de Internet que puede bloquear un ataque.

De acuerdo a un aviso emitido por High-Tech Bridge SA, una empresa de seguridad con sede en Suiza, la vulnerabilidad de SharePoint podría permitir a un atacante ejecutar código JavaScript dentro de la aplicación vulnerable. La firma dijo que notificó a Microsoft de la vulnerabilidad el 12 de abril.

“Una explotación exitosa de esta vulnerabilidad podría resultar en un compromiso de la aplicación, el robo de credenciales de autenticación basados en cookies, divulgación o modificación de datos sensibles”, advirtió la empresa.

Microsoft publicó un parche de emergencia el pasado martes 30, el cual repara una vulnerabilidad de día cero en Internet Explorer, así como otras nueve correcciones de IE. El parche estaba previsto originalmente para el martes de parche del 13 de abril. Código para explotar la vulnerabilidad de día cero, anunciada hace tres semanas, se encuentra disponible públicamente, por lo que se insta a las empresas a aplicar el parche de inmediato.

Según el aviso de seguridad de Microsoft MS10-18, la vulnerabilidad de día cero bajo ataque podría permitir a un atacante ejecutar código de forma remota, debido a una referencia de puntero no válida en Internet Explorer. Los usuarios tendrían que visitar una página web maliciosa a través de un ataque de phishing vía correo electrónico o mensajería instantánea para descargar el exploit. Una vez logrado esto, el atacante tendría los mismos derechos de acceso que el usuario.

La vulnerabilidad de día cero sólo afecta a Internet Explorer 6 y 7, dijo Jerry Bryant, gerente del grupo de comunicaciones de respuesta, en el blog de Microsoft Response Center, e instó a los clientes actualizar a la última versión del navegador para abordar y mitigar futuros ataques contra cualquiera de los otros defectos corregidos.

Wolfgang Kandek, CTO de Qualys Inc., dijo que el parche para la vulnerabilidad de IE 6 e IE 7 debe aplicarse inmediatamente. “No se les puede parchar lo suficientemente rápido”, dijo. Microsoft dijo que ha detectado un aumento de los ataques contra esta vulnerabilidad específica, lo que provocó la publicación del parche antes del habitual lanzamiento del Martes de Parches el 13 de abril.

Las otras correcciones incluidas en el boletín corrigen fallas de ejecución remota de código y defectos de divulgación de información. La mayoría son críticas, entre ellas tres vulnerabilidades de Internet Explorer 8. Kandek no ve una buena razón para que las empresas dilaten la instalación de estos parches. Los investigadores de seguridad buenos, dijo, será capaces de producir un ataque en una semana, mediante la ingeniería inversa de una corrección.

“Incluso los usuarios de IE 8 deben aplicar esta corrección, no inmediatamente, pero tan pronto como sea posible”, dijo.

La vulnerabilidad de Internet Explorer e incluso la reciente competencia de hacking de los navegadores durante la conferencia de seguridad CanSecWest, Kandek dijo, demuestran que los navegadores están muy expuestos y deben ser endurecidos y parchados lo más rápidamente posible. “Como se puede ver, en el navegador hay un montón de maneras de engañar a un usuario para descargar un archivo malicioso y apoderarse de una máquina a través de ese mecanismo.”

El boletín no contempla la vulnerabilidad utilizada en el concurso de hacking de navegador “pwn2own” de CanSecWest. La falla se sigue investigando, dijo Microsoft.

Amrit Williams, Director de Tecnología de la empresa de gestión de seguridad BigFix, dijo que las compañías vulnerables a esta falla deben aplicar el parche de día cero o implementar controles mitigantes de inmediato. “La razón es que la mayoría de las organizaciones no están bien preparadas para responder a un brote de una vez que ocurre”, refiriéndose a su capacidad para monitorear e identificar un compromiso, poner los sistemas en cuarentena y retornarlos a la homeostasis. “Limitará el impacto o la posibilidad de un compromiso si el vector de ataque es reducido o eliminado”, agregó a través de correo electrónico.

Williams también cree que la única manera de poner fin a la rutina de gestión de “escaneo y parchado” es implementar controles que puedan aislar y segmentar aspectos de un entorno informático de los demás; aplicaciones como el navegador, por ejemplo, estar separadas del sistema operativo.

“Hasta que podamos movernos a un entorno altamente segmentado, las organizaciones tendrán que ampliar sus procesos normales de gestión de parches para incluir aplicaciones (tanto de Microsoft como de otros proveedores) y asegurar que la organización pueda responder rápidamente a los parches fuera de ciclo”, dijo.

Sin embargo, Jason Miller, gerente del equipo de seguridad y datos de Shavlik Technologies con sede en Minneapolis, insta a las empresas a permanecer en sus ciclos de pruebas de parche, si pueden, citando que un exploit de la vulnerabilidad de día cero del boletín requiere interacción del usuario, a diferencia de la vulnerabilidad crítica relacionada con el gusano Conficker – una que Microsoft corrigió con su actualización fuera de ciclo anterior. “Se podría tener una aplicación desarrollada internamente dentro de su red, y el nuevo parche aún podría afectarla y romperla.” Miller, sin embargo, cree que la vulnerabilidad debe ser parchada, tan pronto como sea posible. “Estás en una carrera contra el tiempo frente a los hackers que hay ahí afuera,” dijo.

Susan Bradley, una MVP de Microsoft y administradora de TI en Tamiyasu, Smith, Hornos y Braun Corp. en Fresno, California, esperará probar la actualización más adelante en la semana para luego instalarla en las estaciones de trabajo. Debido a que la actualización no corrige los errores identificados en CanSecWest, Bradley siente que no puede confiar únicamente en parches y debe disponer de otros medios para proteger la navegación. “Eso significa asegurar que no se esté ejecutando como administrador, utilizar filtrado Web en el perímetro, y el uso de servicios como www.opendns.com para bloquear categorías de sitios web de riesgo,” dijo por correo electrónico.

El aviso afirma que los clientes que habiliten las actualizaciones automáticas no tendrán que aplicar el parche manualmente. Para aquellos que parchan manualmente, Microsoft recomienda que los clientes apliquen la actualización inmediatamente.

De acuerdo con el aviso, esta actualización de seguridad se considera “crítica” para todas las versiones soportadas de Internet Explorer: Internet Explorer 5.01, Internet Explorer 6 Service Pack 1, Internet Explorer 6 en clientes Windows, Internet Explorer 7 e Internet Explorer 8 en clientes Windows. La actualización está calificada como “Importante” para Internet Explorer 6 en los servidores de Windows y “moderada” para Internet Explorer 8 en los servidores de Windows.