• Tweet

Más de 2,000 sitios Web han sido alterados explotando la falla de seguridad en el cursor animado en el software de Microsoft, de acuerdo con el distribuidor de seguridad Websense.

Estos sitios Web están almacenando código de exploit o están redireccionando a los usuarios de Internet a sitios con código malicioso, de acuerdo con lo reportado en un blog de Websense.

El número de sitios Web diseñados para explotar el problema ha dado un salto considerable desde que la vulnerabilidad fue revelada públicamente por Microsoft el 29 de Marzo. Esto probablemente continuará incrementándose hasta que las actualizaciones sean aplicadas en las PCs corporativas y caseras, de acuerdo con Ross Paul, administrador principal de producto en Websense.

Los intrusos están esperando comprometer alguno de los millones de equipos no actualizados.

La semana pasada, Microsoft alteró su rutina de liberación de actualizaciones y emitió una actualización fuera de la programación debido a la peligrosidad de la vulnerabilidad, la cual, se debe a la forma en como Windows procesa archivos de Cursor Animado o .ani, lo que permite que los sitios Web reemplacen el cursor regular con maliciosos.

La falla afecta casi a todas las versiones del sistema operativo Windows y la tercera falla de día cero que Microsoft solucionó fuera de su programación habitual desde Febrero de 2006.

Las compañías tienden a actualizar sus equipos en las programaciones fijas y podrían no aplicar inmediatamente una actualización cuando es liberada, dijo Paul. Los usuarios caseros podrían recibir automáticamente la actualización si están utilizando Windows XP Service Pack 2, pero los usuarios de las versiones anteriores del sistema operativo Windows probablemente no.

Esto es especialmente peligroso debido a que el problema con .ani no requiere la interacción del usuario para que un equipo sea infectado, de acuerdo con Graham Cluley, consultor principal de tecnología en Sophos. Simplemente visualizando un sitio Web diseñado para explotar la vulnerabilidad con un equipo no actualizado puede resultar en una infección.

Como resultado, los analistas de seguridad generalmente están recomendando aplicar la actualización, aunque Microsoft dijo el viernes que existen problemas de compatibilidad con algunas aplicaciones.

“Recomendamos que esta actualización realmente necesita ser instalada lo antes posible”, de acuerdo con Cluley.

Websense dijo que los atacantes de Europa del Este y China parecen ser el corazón de los esfuerzos. Los grupos en la región Asía Pacífico y China están explotando la vulnerabilidad, principalmente en equipos localizados en Asía, con el propósito de obtener credenciales de juegos en línea populares como Lineage.

Un segundo grupo en Europa del Este, el cual ha sido conocido por utilizar otras vulnerabilidades en el software de Microsoft, se ha dedicado a instalar software malicioso en los equipos, “tenemos también agregado a los ataques .ani a otro arsenal”, de acuerdo con Websense. Estos ataques son dirigidos a servidores y usuarios en los Estados Unidos.

La motivación del grupo de Europa del Este parece ser el coleccionar detalles bancarios usando software malicioso como keyloggers, de acuerdo con Websense. El grupo también ha estado siendo conocido por utilizar exploits para instalar programas antispyware falsos.

Otra técnica utilizada por intrusos es encontrar servidores Web vulnerables y causar que sus visores sean redireccionados a otro sitio Web que explotaron sus equipos utilizando el problema .ani, dijo Paul.

Los intrusos también están instalando iframes, ventanas ocultas que pueden permitir que código como JavaScript se ejecute, para activar un exploit. Paul predice que podría existir más por venir: “Pienso que no hemos visto lo último de esto”.