Microsoft publicó tres boletines de seguridad, haciendo frente a dos vulnerabilidades críticas que afectan a Direct Show y Windows Media Player en su ronda de parches de marzo, pero dejó a los usuarios buscando una solución a la falla de MHTML.

Los tres boletines de seguridad están relacionados con un aviso que Microsoft lanzó en agosto de 2010 con respecto a la precarga de DLL, que puede permitir la ejecución remota de código, dijo Jason Miller, gerente del equipo de datos de Shavlik Technologies LLC, un proveedor de gestión de vulnerabilidades basado en St. Paul, Minnesota. La precarga de DLL es una clase bien conocida de vulnerabilidades. Permite a las aplicaciones de terceros precargar archivos compartidos en Windows, pero un error puede permitir a un atacante acceder a datos confidenciales o tomar el control de la computadora de la víctima.

Este mes hubo un solo boletín de seguridad crítico. MS11-015, que repara una grave vulnerabilidad en DirectShow y un agujero en Windows Media Player y Windows Media Center. La actualización es calificada como “crítica” para casi todas las ediciones compatibles de Windows y Windows Media Center TV Pack para Windows Vista. El boletín es calificado como “importante” para Windows Server 2008 R2.

La vulnerabilidad crítica podría permitir a un atacante llevar a cabo la ejecución remota de código al engañar a una víctima para que visite una página web con un archivo malicioso de Microsoft Digital Video Recording (DVR-MS). La vulnerabilidad de Windows Media Player permite al atacante explotar el agujero al conseguir que una víctima abra un archivo de video malicioso a través de un navegador.

“MS11-015 es muy importante, ya que la vulnerabilidad puede ser explotada sin llegar a ver el video,” dijo Wolfgang Kandek, director de tecnología de Qualys Inc., un proveedor de gestión de vulnerabilidades basado en Redwood Shores, California.

Microsoft normalmente califica estas vulnerabilidades como “importantes”, pero debido a que este ataque en particular no requiere ninguna intervención del usuario (como es normal en este tipo de vulnerabilidad) y debido a su naturaleza “drive-by”, la calificación del parche se ha actualizado a “crítica”, Kandek señaló en un blog.

Otros problemas de precarga de DLL fueron reparados en MS11-016, que se considera importante ya que sólo afecta a archivos Microsoft Groove y .vgc o .gta. Groove es una aplicación de Microsoft SharePoint para compartir espacio de trabajo de Office. MS11-017 repara una vulnerabilidad de Windows Remote Desktop Protocol en donde la apertura de un archivo .rdp malicioso en una red que contiene un archivo DLL malicioso puede provocar la ejecución remota de código.

La falla de MHTML permanece
Notablemente ausente de la ración de parches de este mes está la solución casi enigmática para la vulnerabilidad MHTML que ha permanecido durante algún tiempo. Amol Sarwate, un director de laboratorio de vulnerabilidades de Qualys dijo que los ingenieros de Microsoft están probablemente “probando una corrección” de que es importante no dañar o impedir la funcionalidad cuando el parche sea desplegado.

El problema de divulgación de información de MHTML no ha sido parchado en los últimos dos ciclos de revisión de los martes de parche. Código de prueba de concepto que ataca la falla de día cero de MHTML fue publicado en enero. Microsoft dijo que una víctima puede ser infectada al hacer clic en un enlace malicioso en un sitio web que lleva a un documento HTML. La técnica inyecta código JavaScript malicioso en el navegador de la víctima, dando al atacante la posibilidad de “falsificar contenido, divulgar información o realizar cualquier acción que el usuario pueda realizar en el sitio web afectado en nombre del usuario atacado.”

Shavlik Miller dijo que estaba sorprendido por la ausencia de una corrección para la vulnerabilidad, pero Microsoft no ha visto un “pico” en la cantidad de ataques utilizando la falla, lo que reduce la prioridad de apresurar la publicación.

Microsoft emitió 12 boletines de seguridad el pasado martes, corrigiendo 22 defectos en su línea de productos, entre ellos dos vulnerabilidades críticas para las que ya se encuentra disponible públicamente código de explotación, y una tercera que se informó de forma privada.

El número de vulnerabilidades se ha reducido en relación a diciembre, el último “gran mes” del gigante del software, durante el cual se corrigieron 40 errores. Sin embargo, dos defectos tratados en las actualizaciones del martes de parches de febrero requieren atención inmediata según Jason Miller, gerente del equipo de datos de Shavlik Technologies LLC, un proveedor de gestión de vulnerabilidades basado en St. Paul, Minnesota.

Miller dijo que si bien puede haber disponibles unos cuantos exploits conocidos públicamente, los administradores de TI tienen todo lo que se esperaba de Microsoft este mes.

De las tres vulnerabilidades catalogadas como críticas, las dos más importantes, según Miller, son la MS11-003, la cual repara dos vulnerabilidades en Internet Explorer reveladas públicamente, y MS11-006, una falla de procesamiento de gráficos en Windows Shell.

La falla de Internet Explorer, que Miller dijo que debe ser reparada inmediatamente, es aprovechada mediante la apertura de un archivo de librería especialmente diseñado cuando el usuario abre un archivo HTML; la misma también puede ser activada cuando el usuario navega a una página web en Internet Explorer. El archivo permite la ejecución remota de código y los atacantes pueden utilizar esta vulnerabilidad para otorgarse los mismos derechos de acceso del usuario.

“Prácticamente cada vez que se detecta una vulnerabilidad crítica en Internet Explorer se debe aplicar el parche de inmediato, porque ahí es donde los malhechores van a atacar”, dijo Miller. “Ellos quieren atacar a las personas que utilizan navegadores, es un mejor grupo para ellos encontrar a alguien que puedan comprometer.”

La actualización afecta a todas las versiones soportadas de Internet Explorer.

El fallo de procesamiento de gráficos tiene que ver con la forma en que Windows despliega las imágenes en miniatura (thumbnails). Este error en el procesador de gráficos de Windows Shell podría permitir a un atacante obtener los mismos derechos de acceso del usuario conectado al hacer que el usuario visualice una imagen en miniatura especialmente diseñada, según Microsoft.

“Para ambos boletines ha sido publicado código de explotación por lo que se han registrado ataques limitados”, dijo Miller.

La actualización afecta a Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008.

Una tercera actualización crítica, reportada de forma privada, se une a la larga lista de parches publicada por Microsoft en diciembre contra la vulnerabilidad del controlador Windows OpenType Font. Mientras que las correcciones de diciembre se centraron en prevenir que un tipo de letra cargado de malware tome el control de su sistema a través de Internet Explorer, las actualizaciones de febrero se centran en el controlador OpenType Compact Font Format. Esta vulnerabilidad requiere un poco más de ingeniería social y trabajo por parte del atacante, ya que tendría que convencer al usuario para que visite una página web creada especialmente con el exploit del tipo de letra.

La actualización se considera crítica para los usuarios de Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2. Se considera importante para Windows XP y Windows Server 2003.

La vulnerabilidad de MHTML continúa
“A pesar de que un par de problemas de seguridad de día cero se han parchado, todavía no hemos recibido un parche para los problemas de MHTML que afectan a todas las versiones de Internet Explorer, lo que significa que podemos esperar un igualmente perturbador Martes de parches en marzo”, dijo en un comunicado Paul Henry, analista de seguridad y forense del proveedor de administración de vulnerabilidades Lumension.

El código de explotación surgió en enero, el cual ataca una vulnerabilidad en el manejador de protocolo MHTML. La falla afecta a todas las versiones de Windows, una víctima puede ser infectada al hacer clic en un enlace malicioso de un sitio web que dirija a un documento HTML. La técnica inyecta código JavaScript malicioso en el navegador de la víctima, dando al atacante la posibilidad de “falsificar contenido, divulgar información o realizar cualquier acción que el usuario pueda realizar en el sitio web afectado en nombre del usuario atacado”, dijo Microsoft en su aviso sobre la falla.

Miller dijo que sería difícil determinar lo que está programado para marzo, ya que este suele ser un mes “más ligero” en la alternancia de la carga de trabajo de Microsoft. Miller continuó diciendo que la empresa tiene pendiente por lo menos un aviso desde hace aproximadamente un mes, pero que por ahora no era una amenaza crítica.

“En los últimos 4 o 5 meses ellos han estado trabajando muy estrechamente con los socios de investigación de seguridad”, dijo Miller. “Sólo para incluso jugar a Nostradamus y tratar de adivinar lo que va a venir próximamente es muy interesante … ahora aún sus meses ligeros son grandes de manera que para el mes que viene yo no podría decir lo que viene, pero sé que tienen mucho en su cola.

Microsoft ha emitido una advertencia de seguridad sobre una vulnerabilidad divulgada públicamente en Windows Graphics Rendering Engine, que podría ser utilizada en ataques “drive-by”.

La falla afecta a los usuarios de Windows XP, Windows Server 2003 y 2008 y Windows Vista.

Microsoft dijo que no se han detectado intentos de aprovechar la vulnerabilidad por parte de atacantes. La falla podría ser explotada en ataques “drive-by” o engañando a un usuario para que abra un archivo malicioso de Word o PowerPoint, Microsoft dijo. Si la vulnerabilidad de ejecución remota de código se aprovecha con éxito, un atacante podría obtener el control completo de la computadora de la víctima, instalar otros programas maliciosos y robar información, dijo Microsoft.

La falla está en la forma en que Windows accede a un objeto para ejecutar una aplicación. Una imagen en miniatura maliciosa puede causar que el motor de proceso de gráficos falle.

Los ingenieros de Microsoft están trabajando en un parche para corregir esta vulnerabilidad. El gigante del software dijo que la vulnerabilidad “no cumple los criterios para una emisión fuera de ciclo” La falla no afecta a Windows 7 o Windows Server 2008 R2.

Como solución temporal a este problema, Microsoft dijo que los usuarios afectados pueden modificar la lista de control de acceso para restringir al visor de imágenes y fax de Windows de mostrar archivos. Como resultado, la solución evitará que se muestren los archivos de media que por lo general maneja.

La vulnerabilidad se destacó por primera vez en una presentación a cargo de los investigadores de seguridad Joseph Moti y Hao Xu en la conferencia de seguridad Power of Community en Corea. Los mantenedores del Metasploit Framework crearon un módulo para la falla de día cero el pasado martes.

El mes pasado, Microsoft reparó siete vulnerabilidades en Microsoft Office, incluyendo una falla que afecta a Microsoft Office Graphics Filters que podría ser explotada al engañar a un usuario para que abra un archivo de imagen malicioso. Los defectos sólo afectan a los usuarios de Microsoft Works, Microsoft Office Converter Pack, Microsoft Office XP y Microsoft Office 2003.

Un investigador de seguridad ha lanzado una nueva herramienta que dice es capaz de encontrar vulnerabilidades en los navegadores que son a menudo difíciles de identificar y advierte que al menos uno de los defectos identificados en Internet Explorer puede haberse convertido en público.

Usando cross_fuzz, el investigador de seguridad de Polonia Michal Zalewski, un miembro del equipo de investigación de vulnerabilidades de Google, dijo que ha descubierto cerca de 100 vulnerabilidades en los navegadores más populares, incluyendo Internet Explorer, Firefox y Opera. Dijo que publicó la herramienta para que otros expertos de seguridad puedan mejorar su eficacia y lograr que los fabricantes de software corrijan los errores, algunos de los cuales han quedado sin resolver desde que fueron descubiertos en julio.

Zalewski dijo que una nueva vulnerabilidad de día cero en Internet Explorer que podría “provocar varias caídas explotables” fue identificada en julio. Dijo que los detalles de la falla de día cero en IE pueden haber sido accidentalmente indexados por Google.

“He confirmado que tras este accidente, ninguna otra parte inesperada ha descubierto o descargado la herramienta,” escribió Zalewski en un blog sobre el incidente, agregando que él rastreó una búsqueda a una dirección IP en China, que también ha indexado los archivos de cross_fuzz que contienen la vulnerabilidad de día cero.

Se ha reportado que Microsoft ha respondido que está investigando el tema y que no han sido detectados ataques dirigidos contra la falla.

Hasta ahora la herramienta ha identificado más de 50 vulnerabilidades en Firefox, muchas de los cuales han sido abordadas por Mozilla. También se han detectado vulnerabilidades en todos los navegadores WebKit. La mayoría de las fallas se han parcheado, Zalewski dijo, pero aún quedan algunos errores de corrupción de memoria difíciles de corregir. Varias fallas, incluyendo un error muy crítico, fueron identificadas en el navegador Opera, varias de las cuales no se han resuelto, Zalewski dijo.

La nueva herramienta cross_fuzz es un fuzzer de vinculamiento de Document Object Model (DOM), que analiza cómo el navegador interactúa con los objetos y otros elementos al desplegar páginas web. En un blog y un mensaje en la lista de correo Full Disclosure, Zalewski solicitó a los investigadores ayuda para resolver problemas actuales de rendimiento de la nueva herramienta.

Las firmas de seguridad están advirtiendo sobre un nuevo código de explotación que ataca una vulnerabilidad de día cero en Microsoft Internet Explorer, lo que permite a los atacantes tomar el control completo de un sistema vulnerable.

La vulnerabilidad podría ser utilizada por los atacantes para ejecutar ataques “drive-by”. La nueva falla fue reportada por la empresa francesa de seguridad VUPEN Security el 9 de diciembre y afecta a Internet Explorer 6, 7 y 8 corriendo en Windows XP, Windows Vista y Windows 7.

VUPEN dio a la vulnerabilidad la calificación de “crítica”. El navegador contiene un defecto que causa un error de memoria en el motor de análisis de HTML de Internet Explorer cuando procesa reglas de importación de Cascading Style Sheet (CSS) en una página Web, de acuerdo con el aviso de VUPEN. Los atacantes pueden crear una página web maliciosa o inyectar código en sitios web vulnerables para atacar la falla.

La vulnerabilidad se ha añadido el miércoles como un exploit en el Metasploit Framework.

Microsoft bloqueó cinco vulnerabilidades críticas de Internet Explorer en su ronda de parches mensuales de diciembre. Algunos de los defectos parchados por Microsoft estaban siendo utilizados por atacantes en ataques drive-by.

Microsoft publicó una cantidad récord de 17 boletines de seguridad el pasado martes, reparando una vulnerabilidad de “día cero” utilizada por el notorio malware Stuxnet y bloqueando el ataque a varias fallas críticas en Internet Explorer.

El gigante del software reparó 40 vulnerabilidades de productos y siete fallas críticas, tanto en software cliente como en sistemas de servidor, que afectan a Microsoft SharePoint Server y Exchange. Los expertos en parches dijeron que los boletines adicionales indican que Microsoft puede estar haciendo un esfuerzo por mejorar el tiempo que toma para reparar las vulnerabilidades.

“Las organizaciones necesitan mejorar la planificación del tiempo de inactividad de sus sistemas en función de los martes de parches porque el número de parches no va a disminuir en el corto plazo”, dijo Amol Sarwate, gerente del laboratorio de investigación de vulnerabilidades de Qualys Inc., un proveedor de gestión de vulnerabilidades con sede en Redwood Shores, California.

Microsoft parchea la cuarta vulnerabilidad de día cero utilizada por los delincuentes detrás del troyano Stuxnet. El sofisticado malware ataca varias otras vulnerabilidades para acceder a los sistemas Windows y a continuación utiliza una de las dos vulnerabilidades en el Windows Task Scheduler para elevar sus privilegios en su afán por atacar el software de monitoreo de control y adquisición de datos (SCADA) de Siemens. Microsoft ha calificado la vulnerabilidad “importante” y dijo que el atacante debe tener credenciales válidos de inicio de sesión y estar autenticado de forma local para explotar la falla.

Microsoft bloqueó varias vulnerabilidades críticas en Internet Explorer siendo utilizadas por los atacantes en una serie de ataques drive-by. El boletín resuelve cinco fallas fundamentales que afectan a todas las versiones de Internet Explorer, tanto en clientes y servidores Windows. Sarwate dijo que Microsoft ha visto un aumento en los ataques contra las vulnerabilidades de IE en los últimos días.

“Hubo un repunte importante en China y Corea, donde estas vulnerabilidades se utilizaban con fines de explotación”, dijo Sarwate.

Varias vulnerabilidades críticas en el controlador de Open Type Font de Microsoft Windows fueron reparadas también por la compañía el martes. Microsoft dijo que un atacante podría alojar una tipografía OpenType en un directorio compartido de red y hacer que un usuario navegue a la misma, activando automáticamente la vulnerabilidad en el Explorador de Windows “, permitiendo de esta forma que la tipografía especialmente diseñada tome el control total sobre un sistema afectado.” La actualización de seguridad se considera crítica para el controlador OTF que se ejecuta en Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008.

Además, Microsoft corrigió varias vulnerabilidades en la forma en que Microsoft y algunas aplicaciones de terceros precargan archivos compartidos en Windows. Varios boletines corrigen vulnerabilidades en el manejo de media o errores en la precarga de DLL. Los boletines se consideran importantes y reparan fallas de precarga en sistemas cliente y servidor. Los administradores deben instalar los parches, pero Sarwate de Qualys dijo que los administradores pueden leer y aplicar una solución de precarga DLL que repara los errores de precarga en cientos de componentes de Windows de otros fabricantes.

Otro boletín de seguridad notable corrige siete vulnerabilidades en Microsoft Office que un atacante puede explotar de forma remota para acceder a archivos críticos del sistema o instalar software malicioso. Las vulnerabilidades afectan a Microsoft Office Graphics Filters y pueden ser explotadas logrando que un usuario abra un archivo de imagen malicioso. La vulnerabilidad es calificada de “importante” para Microsoft Works 9, Microsoft Office Converter Pack y Microsoft Office XP y Microsoft Office 2003.

Microsoft corrigió vulnerabilidades en Forefront Unified Access Gateway y fallas en Microsoft Office y PowerPoint como parte de su programa de parches mensuales.

El gigante del software publicó tres boletines de seguridad, el pasado martes, haciendo frente a 11 vulnerabilidades en su ciclo de parches de noviembre. Una de las cinco vulnerabilidades corregidas en Microsoft Office podría permitir a un atacante ejecutar código remotamente en la máquina de la víctima, logrando que el usuario abra un mensaje de correo electrónico en formato de texto enriquecido. La actualización de seguridad se considera “crítica” para Microsoft Office 2007 y 2010.

Josh Abraham, un investigador de seguridad del proveedor de gestión de vulnerabilidades con sede en Boston Rapid7 LLC, dijo que la vulnerabilidad crítica podría permitir a los ciberdelincuentes llevar a cabo ataques de malware “drive-by”.

Microsoft también abordó cuatro vulnerabilidades de seguridad en Forefront Unified Access Gateway. El gateway es un VPN SSL, utilizado para dar a los empleados acceso remoto seguro a los sistemas y aplicaciones empresariales. El UAG es vulnerable a un defecto de suplantación de identidad que permite a los empleados malintencionados aumentar sus privilegios de usuario. El boletín es calificado como “importante” para todas las versiones de Forefront Unified Access Gateway 2010.

“Sin la corrección, los administradores que hagan clic en enlaces maliciosos de cross-site scripting podrían provocar la ejecución de código que permite a atacantes crear usuarios o cambiar la configuración en el servidor de Microsoft Forefront,” escribió Wolfgang Kandek, director de tecnología de Qualys Inc., un proveedor de gestión de vulnerabilidades basado en Redwood Shores, California; en el blog de la compañía.

Además, Microsoft corrigió dos defectos de PowerPoint. Microsoft dijo que las fallas podrían permitir a un atacante ejecutar código remotamente en la máquina de la víctima después de conseguir que el usuario abra un archivo malicioso de PowerPoint. A pesar de ser calificado como “importante”, Microsoft ha dado a las vulnerabilidades una calificación de explotación de nivel 1, lo que significa que es probable que surja código público que intente explotar las vulnerabilidades. La actualización afecta a Microsoft PowerPoint 2002, 2003 y Microsoft Office 2004 para Mac.

Existe una vulnerabilidad de día cero de Internet Explorer, reconocida por Microsoft la semana pasada, la cual sigue sin parche. Los expertos en seguridad advirtieron que las soluciones temporales descritas en el aviso podrían afectar el funcionamiento de algunas páginas web.

Microsoft publicará tres boletines la próxima semana, reparando 11 vulnerabilidades en Office y Forefront Unified Access Gateway.

En la notificación anticipada publicada el jueves por el gigante del software, Microsoft dijo que un boletín que aborda las vulnerabilidades de Office es calificado como “crítico”. El boletín crítico afecta a Microsoft Office 2007 y 2010.

Un boletín que aborda una falla que podría permitir una elevación de privilegios en Forefront UAG 2010 es calificado como “Importante”. Una tercera actualización, calificada de “importante” reparará errores en Microsoft PowerPoint que podrían ser explotados de forma remota por un atacante.

Las actualizaciones se publicarán el martes como parte del proceso regular de parches mensuales de Microsoft.

Los ingenieros están trabajando en un parche para una vulnerabilidad de día cero en Internet Explorer que está siendo atacada de forma activa mediante ataques drive-by. Microsoft publicó un aviso de alerta el martes sobre un error de asignación de memoria, presente en Internet Explorer 6, 7 y 8, el cual podría permitir a un atacante ejecutar código y lograr acceso a la máquina de la víctima.

Microsoft está advirtiendo a los clientes sobre una nueva vulnerabilidad de día cero en Internet Explorer que está siendo activamente atacada utilizando ataques drive-by (pasajeros).

Un error de asignación de memoria, presente en Internet Explorer 6, 7 y 8 podría permitir a un atacante ejecutar código y acceder a la máquina de la víctima. Un sitio web de ataque fue descubierto que intentaba explotar la falla de IE mediante ataques pasajeros. Internet Explorer 9 beta no se ve afectado por el problema, dijo Microsoft.

“El código de explotación fue descubierto en un único sitio web que ya no aloja el código malicioso”, dijo Jerry Bryant, gerente de grupo de comunicaciones de respuesta del Microsoft Trustworthy Computing Group.

En una entrada de blog, Bryant dijo que los ingenieros estaban trabajando en una solución automatizada de reparación temporal hasta que un parche permanente pueda ser emitido. En la actualidad, el problema “no cumple los criterios para una emisión fuera de ciclo”, dijo Bryant.

Los ataques pasajeros se han convertido en un método cada vez más común de ataque. Los usuarios son a menudo atraídos a visitar un sitio web malicioso en un mensaje de correo electrónico, un mensaje instantáneo o a través de resultados de búsqueda envenenados. A menudo, sitios web legítimos son comprometidos para albergar código de ataque. Blogs, redes sociales y foros de Internet también pueden ser utilizados para alojar ataques pasajeros.

El aviso de seguridad de Microsoft destacó una serie de soluciones para mitigar la amenaza que representa la vulnerabilidad, que incluyen la lectura de mensajes de correo electrónico en texto plano, la aplicación de una hoja de estilo en cascada personalizada como un reemplazo al leer los datos HTML, activar la prevención de ejecución de datos (DEP por sus siglas en inglés) en IE 7 y aplicar la Enhanced Mitigation Experience Toolkit (EMET).

Microsoft dijo que la vulnerabilidad podría ser atacada a través de sitios web de ataques pasajeros o mediante el compromiso de sitios web que aceptan o alojan contenido proporcionado por el usuario, como los blogs y redes sociales. Además, los anuncios de visualización en sitios web pueden ser comprometidos para lanzar un exploit que ataque la falla.

“En todos los casos, sin embargo, un atacante no podría obligar a los usuarios a visitar estos sitios web”, dijo Microsoft. “En cambio, el atacante tendría que convencer a los usuarios a visitar el sitio web, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o en un mensaje de mensajería instantánea que lleve a los usuarios a la página web del atacante.”

Un ataque exitoso podría dar a los ciberdelincuentes el control completo de la máquina de la víctima y la posibilidad de descargar malware adicional o intentar obtener acceso a la red.

Microsoft publicó su último Informe de Inteligencia de Seguridad la semana pasada, el cual indica que las botnets representan el mayor problema para los equipos de seguridad que tratan de defender sitios web, redes y dispositivos de usuario final de las infecciones de malware.

El volumen 9 del Microsoft Security Intelligence Report presenta evidencia de que si bien ha habido cierto éxito en romper las principales botnets, se requiere más acción si los equipos de seguridad esperan ver una disminución importante en las infecciones de malware en botnets. Microsoft dijo haber limpiado más de 6.5 millones de computadoras de infecciones de botnets en el primer semestre de 2010, el doble de la cantidad para el mismo período del año anterior.

“Creemos que, incluso si todo el mundo adopta procesos fundamentales efectivos, para combatir realmente el problema, necesitamos la cooperación en todos los sectores y a través de las fronteras para lograr una defensa colectiva”, dijo Jeff Jones, director de Microsoft Trustworthy Computing.

Jones dijo que Microsoft está tratando de mejorar la cooperación con los equipos de seguridad de otros proveedores de software y trabajar con las autoridades para desarrollar mejores reglas de compromiso. “Tenemos que trabajar con personas que registran dominios”, dijo, y agregó que la cooperación con los proveedores de servicios de Internet es fundamental para el éxito.

Los EE.UU. tenían la mayoría de las infecciones de botnet, con 2.2 millones en el primer semestre de 2010, por delante del segundo lugar Brasil con 550 mil infecciones de botnet, según el informe. Mientras tanto, España ocupó el primer lugar en Europa con 382,000 infecciones de botnet, seguido por Francia, Reino Unido y Alemania.

Jones dijo que casi todos los casos de malware que Microsoft identificó en el primer semestre de 2010 estaba vinculado a una de las botnets principales. Los gusanos tuvieron el mayor aumento en prevalencia durante los últimos cuatro trimestres, empatando con los troyanos en prevalencia en el segundo trimestre de 2010. Además, algunos programas maliciosos contienen cientos y a veces miles de variantes diferentes, diseñados para pasar inadvertidos por las tecnologías de seguridad tradicionales y siguen siendo prácticamente indetectables en los sistemas.

Microsoft ha detectado un elevado número de gusanos de la familia Taterf, que se propagó a través de las unidades compartidas para robar datos de acceso y cuenta para juegos en línea populares, como World of Warcraft. Microsoft también está detectando con cada vez más frecuencia Zwangi, otro gusano importante que se puede ejecutar en segundo plano y modificar la configuración del navegador para enviar a los usuarios a sitios Web maliciosos. Además Microsot ha detectado un elevado número de gusanos Autorun, utilizados para infectar máquinas y crecer botnets.

Microsoft ha tenido éxito derrotando a los botnets por la vía legal, dijo Jones. En febrero, Microsoft desactivó el famoso botnet Waledac. Waledac era un bot de spam grande que produjo un estimado de 1.5 billones de mensajes de spam diarios. Microsoft tomó acción legal, eliminando 273 nombres de dominio que se cree controlaban el botnet Waledac.

Además de adoptar el enfoque jurídico, Microsoft propone una estrategia que afecta a los usuarios de las computadoras infectadas por botnets. Scott Charney, vicepresidente corporativo de Trustworthy Computing de Microsoft, ha propuesto recientemente un modelo que incluye tratar a las PCs infectadas como la mayoría de los sistemas de salud pública tratan a las personas con enfermedades infecciosas. En una conferencia de seguridad en Berlín, Charney abogó por que los gobiernos adopten medidas que aíslen a las máquinas infectadas del resto de Internet. Los ISPs estarían obligados a notificar a los propietarios de computadoras de que se ha detectado un problema y limitar el uso de Internet a esas PCs.

“Hay algunos puntos obvios donde el tráfico puede ser observado para determinar si una máquina particular puede estar infectada y de manera individual el propietario sería notificado”, dijo Jones de la propuesta de Charney. “Sabemos que en cualquier país hay diferentes niveles de sensibilidad sobre la privacidad, por lo que es importante asegurarse de que el escaneo sólo suceda por razones que están autorizadas legalmente para una zona infectada.”