• Tweet

El proyecto experimental Honeymonkey de Microsoft ha encontrado casi 750 paginas Web que intentan descargar código malicioso dentro de las computadoras de los visitantes y ha detectando una vulnerabilidad que no ha sido divulgada públicamente.

Conocido formalmente como the Strider Honeymonkey Exploit Detection System, el proyecto utiliza clientes de Windows XP automatizados para navegar partes de la Internet en busca de sitios que comprometan los sistemas sin la interacción del usuario. En los últimos experimentos, Microsoft identificó 752 direcciones que pertenecen a 287 sitios Web que contienen programas con la capacidad de instalarse a si mismos en sistemas Windows XP no actualizados.

Honeymonkeys, un nombre inventado por Microsoft, modifica el concepto de honeypots - computadoras que están en línea y son monitoreadas para detectar ataques.

El cliente honeymonkey visita páginas Web maliciosas quedando infectado en lugar de esperar a ser comprometido. Esta técnica es útil básicamente para compañías que quieran conocer si su software está siendo explotado mediante este tipo de sitios Web en la Internet.

El sistema experimental, el cual fue reportado por Securityfocus en mayo de este año, es una de las iniciativas del gigante de software para hacer la red más segura para usuarios de sistemas operativo Windows. Los defraudadores en línea se han vuelto mas astutos al engañar a los usuarios, desde realizar ataques de phishing hacia hasta tener acceso a individuales que tienen acceso a información de un alto grado de importancia. Datos estadísticos sugieren que algunas firmas financieras sostienen que los culpables de esas acciones son los desarrolladores de software como Microsoft.

El gigante del software no se ha enfocado sólo en una estrategia para asegurar a sus clientes. Hace un año, la compañía publicó una de sus actualizaciones más importantes, el service pack 2 para el sistema operativo Windows XP - una actualización principalmente enfocada a la seguridad. La compañía ha empezado a trabajar mas de cerca con investigadores de seguridad independientes y hackers para encontrar fallas en su sistema operativo y ofreciendo una remuneración por información acerca de los programadores de virus que han atacado su software.

El proyecto honeymonkey, que fue discutido por primera vez en el Congreso de Seguridad del Instituto de Ingenieros Eléctricos y Electrónicos en Oakland, California el pasado mes de mayo, es el último intento por el gigante del software para detectar amenazas sobre sus clientes antes de que dichas amenazas se distribuyan públicamente. Los honeymonkeys son máquinas virtuales ejecutándose con diferentes parches en Windows. El programa "monkey" navega a través una variedad de sitios Web que intenten explotar alguna vulnerabilidad en el navegador Web.

En términos de capacidades de detección, es una forma muy elegante de hacerlo, el modelo de un antivirus es buscar patrones dañinos, no puede encontrar ataques desconocidos. La mejor forma de encontrar si una pagina Web intenta atacar el navegador Web, es el permitir ejecutar código hostil en el mismo.

Nuevas tácticas como el proyecto Honeymonkey serán de gran utilidad para reducir los riesgos en la Internet, dijo Lance Spitzner, presidente del proyecto honeynet, el cual se enfoca en crear servidores falsos para capturar las actividades de un intruso, honeypots del lado del cliente, o como Microsoft lo ha llamado como honeymonkey, son útiles de igual manera.

Mientas los intrusos continúen adaptándose al cambio, de igual manera lo haremos nosotros.

En el primer mes, los honeymonkeys de Microsoft encontraron 752 direcciones diferentes en 287 sitios Web que explotaban diferentes vulnerabilidades en Windows XP, de acuerdo con un documento publicado la semana semana. Los investigadores determinan si cada monkey ha sido comprometido mediante el uso de otro proyecto, el Strider Flight Data Recorder, el cual detecta cambios en los archivos del sistema y en registros. El controlador del programa monkey detiene la maquina virtual infectada y reinicia una nueva maquina virtual. Otro programa monkey que ejecuta un Windows con parches diferentes se conecta a la misma dirección IP para validar el impacto del exploit.

A principios de julio de este año, el proyecto descubrió el primer exploit para una vulnerabilidad que no había sido hecho pública. El ataque utilizaba una vulnerabilidad en el JView Profiler de Microsoft. Conocidos como exploits de “día-cero”, tales ataques pueden ser potencialmente peligrosos si se distribuye antes de que Microsoft pueda proporcionar actualizaciones para sus clientes. De hecho, la red de sitios Web que se detectaron aparentemente compartían información, debido a que desde el primer descubrimiento, 40 de los 752 sitios adoptaron el exploit.

Microsoft cree que tales sitios pueden actuar como informantes, alertando a la compañía de la existencia exploits de “día-cero” antes de que los ataques empiecen a distribuirse.

Entre otros descubrimientos que los investigadores obtuvieron, se encuentra que aun en un sistema Windows XP con SP 2 sin los parches actualizados, puede bloquear varios de los exploits mostrados en 10 de los sitios encontrados. Un equipo Windows XP SP2 con los parches actualizados parece no ser afectado por estos exploits.

Microsoft planea seguir con la investigación en esta área, para que al final después de una investigación pase los casos de los sitios encontrados con este tipo de malware a una investigación judicial.