La vulnerabilidad de Internet Explorer 6-7 y unos datos

(Por El Microsaurio) La historia comienza el 3 de febrero, en la conferencia Black Hat DC (allá en Arlington, Virginia… ¿te suena? sí, hay un cementerio famoso…) y no terminó aún. Pero ha causado bastante revuelo, que incluye un No Parche y una Security Advisory (modificada tres veces, no creas) de Microsoft. La punta del ovillo fue un descubrimiento de “dion”, siguió un interesante análisis de “trancer”… y el resultado es que hay otra manera (y van…) de que te empomen si usás Internet Explorer 6 (no digas que no te avisaron, no tenés que usarlo más) o el IE7. Que también tiene reemplazo. No, el cielo no se cae, pero hasta que haya parche, cuídense

El descubrimiento de “dion”, que es Dionysus Blazakis (que trabaja como admin a cargo de la seguridad de un canal satelital de p*rno pay-per-view de los grandes), era (simplificando a lo bestia) una forma de ejecutar código en una máquina que visitara un website cargado con una animación de Flash.
El mecanismo por el cual se manipulaban determinadas áreas de la memoria de la compu visitante le interesó a “trancer”, un investigador que para el día siguiente ya había identificado el esquema general de esa forma de ataque, y también había mencionado, en una lista pública de Internet, los elementos del navegador (Internet Explorer) que tenían una falla aprovechable. Pasó el tiempo, llegó marzo, y Moshe Ben Abu (es el nombre real de “trancer”, aunque en twitter firma como trancer00t) además de entrar a trabajar en la RSA en el pasado febrero, oh casualidad, encontró un website con malware que explotaba… exactamente esa falla, gracias a un dato de Craig Schumgar, de McAfee.
Ni corto ni perezozo, Jerry Briant desde el Microsoft Security Response Center avisó el día 9 de marzo que había una Security Advisory, la 981374 donde se podrían leer instrucciones para aminorar el daño hasta que se hiciera un parche… que sigue pendiente. El día anterior (8 de marzo) “trancer” había encontrado y analizado el famoso malware diseñado para explotar esta falla.

Resumen razonado

• ¿Cómo pueden atacarte? Llega un email o un mensaje de Messenger, con un link, diciéndote que en ese sitio web hay cierta información importante. Como está inteligentemente redactado, y “parece” venir desde un contacto conocido, hacés clic. Se abre tu navegador, entrás en una cierta página web, se descarga malware a tu máquina, sonaste.
• ¿Qué malware puede bajar? Desde Symantec se informó el día 10 de marzo que encontraron websites conteniendo un JavaScript que apuntaba a un troyano, que a su vez descargaba un backdoor llamado Skyipot. Entre otras cosas, Skyipot genera un informe luego de revisar tu máquina, y lo devuelve a su Centro de Comando, detallando qué parches hay en tu compu. ¿Entendés la gravedad de esto? A partir de ese momento, el atacante conoce qué otras debilidades tiene tu PC, y puede dejar de perder tiempo, atacando máquinas perfectamente emparchadas, para dedicarse a las más vulnerables. Los de McAfee comentaron más o menos lo mismo (con otro nombre para el malware, qué le vamos a hacer…)
• ¿Cómo zafar si no hay parche? Deshabilitar ActiveX y JavaScript ayuda. Leer las instrucciones en la nota de seguridad 981374 también ayuda. Tener un antivirus actualizado es otra medida útil, la mayoría está detectando esta amenaza desde el día 12 de marzo. El archivo vulnerable (pero legítimo) dentro del sistema es “iepeers.dll”. Deshabilitarlo o no es algo complejo y no es una decisión que pueda tomar un “end user”, sin sesuda lectura de la mencionada nota de seguridad.
• ¿Quiénes son vulnerables? Más facil: NO son vulnerables Internet Explorer 8, Windows 7 y Windows Server 2008. Todas las otras combinaciones de sistemas operativos y/o navegadores de Microsoft son vulnerables. Ah, Internet Explorer 5 tampoco puede ser atacado (no sé si alguien lo usa todavía…)

Paciencia, y veremos cómo sigue. En cuanto sepa algo, te cuento.