• Tweet

No es usual que los exploits aparezcan después de que se publicaron los parches. Los hackers frecuentemente utilizan la “ingeniería inversa” para descubrir vulnerabilidades en el código y explotarlas con gusanos o troyanos.

Aunque los expertos en seguridad dijeron el martes, el día previo a la publicación de los parches de 21 vulnerabilidades de Microsoft, que esto no representa alguna amenaza importante. Sin embargo, un análisis más detallado de las actualizaciones un día después indica lo contrario.

Los exploits siguen presentes en más de una tercera parte de los bugs parchados, por ejemplo:

VeriSign iDefense dijo el miércoles que existe el código de un exploit para 5 de las 21 vulnerabilidades, y que esto es importante ya que son ejemplos de dos vulnerabilidades críticas. El Internet Storm Center dijo que una sexta parte de los bugs han sido probados con un exploit de denegación de servicio cuyo código no ha sido publicado.

Swa Frantzen, analista de la organización de seguridad Internet Storm Center publicó en el boletín MS06-029 una vulnerabilidad en el servidor de correo de Microsoft Exchange.

Los usuarios que usan Outlook Web Access (OWA) para Exchange server están en riesgo: “una vulnerabilidad de inyección de script”, de acuerdo a Microsoft.

“Un correo electrónico especial enviado a un usuario y abierto con OWA podría ejecutar el script”, dijo Frantzen. “Si estás corriendo el servicio OWA de Microsoft Exchange, es muy importante que parches la aplicación de inmediato”

A principios de esta semana, un bug en el servicio de email de Yahoo permitió a los atacantes secuestrar computadoras con el solo hecho de que los usuarios vieran un mensaje. El defecto de OWA era similar.

Microsoft indica en el boletín que “el script podría ejecutar cualquier acción en la computadora del usuario que el sitio Web permita”. “Estas acciones podrían incluir el monitoreo de la información de la sesión del usuario web y reenviar esa información a terceros, corriendo otro código en el sistema del usuario y leyendo o escribiendo en las cookies.”

Symantec fue más agresivo en la definición de esta vulnerabilidad en OWA que como la calificó Microsoft ya que la marcó simplemente como “importante” mientras que la firma de anti-virus la calificó con un “10” en una escala de urgencia por aplicar el parche.

“Puesto que esta edición se relaciona con un script Web, un atacante podría desarrollar un exploit confiable y eficaz,” dijo Symantec a sus clientes de su sistema DeepSight Threat Management System el miércoles.

Un ataque, según Symantec, podría implicar un ataque spoofing qué parece ser un mensaje legítimo a un usuario de OWA, agrega un script que roba la información de la cookie sobre la sesión Web (secuestrando así la sesión), y modifica cualquier información que se encuentra en el buzón comprometido.

Pero el bug en OWA no era el único digno de preocupación. VeriSign iDefense también observó que casi el 20 por ciento (4 de 21) de los parches habían sido divulgados previamente en foros públicos. Dos de los cuatro se hicieron públicos en mayo y uno de abril, pero el cuarto se escuchó de nuevo en diciembre de 2005.

Las vulnerabilidades conocidas que no se han parchado, a menudo se les llaman vulnerabilidades de “día cero”.

Las “vulnerabilidades de día cero tienen una tendencia de crecimiento rápido,” dijo Chris Andrew, vicepresidente de tecnologías de seguridad en los parches y manejo de vulnerabilidades del fabricante PatchLink. “Realmente han crecido desde el inicio del año.

“Solamente Microsoft está invirtiendo una misma cantidad de tiempo este año que el año pasado en su ciclo de parches, la cosa que es que el tiempo entre que se hace pública una vulnerabilidad y aparece el exploit se reduce.