Investigadores de la Zero Day Initiative "ZDI" (en español,  Iniciativa Día Cero) encontraron una vulnerabilidad crítica en los productos Security-as-a-Service (SaaS) de McAfee. Aunque McAfee ya había sido notificado del problema en abril del 2011, la empresa falló al no proveer un parche y la ZDI dio a conocer la información de acuerdo con el plazo de 180 días pactado.

Un atacante puede ejecutar código arbitrario al explotar la falla, pero sólo si logra convencer a la víctima potencial de visitar una página maliciosa o abrir un archivo especialmente diseñado. Desafortunadamente, por experiencias anteriores, sabemos que esta labor no es difícil de lograr.

"Las fallas específicas existen dentro de myCIOScn.dll. MyCioScan.Scan.ShowReport() podría aceptar comandos que son pasados a una función, la cual simplemente los ejecuta sin autenticación alguna. Esto puede ser aprovechado por un atacante malicioso para ejecutar código arbitrario en el contexto del navegador", dice el informe de la ZDI.

El problema ha sido valorado con una puntuación CVSS de 9 de un máximo de 10, lo que significa que la debilidad es muy grave.

Aunque McAfee no ha proporcionado un parche, la ZDI recomienda una solución para mitigar la amenaza. Recomiendan a los usuarios establecer el bit de interrupción para deshabilitar el script en Internet Explorer, modificando el valor del registro de Windows.

De acuerdo con los investigadores, sí la bandera de compatibilidad DWORD de HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Internet Explorer\ActiveX Compatibility \ 209EBDEE-065C-11D4-A6B8-00C04F0D38B7  tiene un valor de 0x00000400, puede prevenirse un ataque.

Los expertos no proporcionaron los nombres exactos de los productos afectados, pero SaaS de McAfee incluye McAfee SaaS Email Protection que ofrece protección contra virus y spam en sistemas de correo electrónico, McAfee Integrated Suites que brinda protección contra virus, spyware, amenazas web y otros ataques, Endpoint Protection, Vulnerability Management y Web Protection.

Hemos contactado a McAfee para una declaración oficial respecto al tema, pero hasta el momento no han respondido. El artículo será actualizado tan pronto como la empresa dé más detalles.

Actualización: McAfee publicó una declaración en su foro de comunidad aclarando el problema. Este es su comunicado:

McAfee está consciente de este artículo. El cual es en referencia a un problema de seguridad con McAfee Total Protection Service, nuestro producto SaaS AV, que fue reparado en un parche liberado en agosto del 2011.

McAfee lanzará esta semana otro parche que eliminará completamente la funcionalidad (que quedó obsoleta por el parche emitido en agosto). Como se trata de una solución alojada, el parche será procesado automáticamente. Una vez más, el parche de agosto del 2011 mitigaría el problema.