• Tweet

Los intrusos están tratando de explotar una vulnerabilidad sin parchar en el reproductor QuickTime de Apple que permite ejecutar código en la computadora de la víctima, alerto Symantec en el domingo pasado.

El jueves, Computerworld informó sobre el código con el que realizaron la prueba de concepto que afecta a la vulnerabilidad, este problema fue reportado en milw0rm.com.

Los primeros problemas conocidos relacionados con esta vulnerabilidad fueron conocidos el pasado sábado, y la mayoría de los ataques fueron destinados a usuarios Windows, sin embargo, los usuarios de Mac también pueden estar en riesgo ya que la vulnerabilidad de QuickTime afecta a ambos sistemas operativos. Esta vulnerabilidad fue divulgada el 23 de noviembre y aún no han liberado una actualización que repare el problema.

Investigadores han demostrado que la vulnerabilidad de QuickTime afecta a un rango de sistemas operativos, incluyendo Windows XP, Windows Vista, Mac OS X 10.4 y el reciente sistema de Mac OS X10.5, mejor conocido como Leopard. La vulnerabilidad puede ser explotada a través de Internet Explorer, Firefox, Opera y Safari.

Symantec comentó que existen dos vectores de ataques, en el primero los usuarios que visitan un sitio Web para adultos Ourvoyeur.net, son redireccionados a otro sitio Web que con una aplicación que afecta a los equipos, esta aplicación se llama loader.exe y puede ser guardado como metasploit.exe. Una vez que se instala la aplicación, se descarga otro archivo binario que Symantec identificó Hacktool.Rootkit. Este último es una serie de herramientas que pueden irrumpir en un sistema.

Symantec comentó que es probable que los intrusos lograron comprometer el sitio Ourvoyeur.net como parte de su ataque.

En el segundo vector de ataque también se involucra el redireccionamiento, sin embargo, Symantec sigue haciendo investigaciones para determinar si se involucra algún malware.

Para proteger a los sistemas de este ataque, Symantec recomienda bloquear el acceso a sitios afectados. “Filtrar el acceso de salida a 85.255.117.212, 85.255.117.213, 216.255.183.59, 69.50.190.135, 58.65.238.116 y 208.113.154.34.” Además 2005-search.com, 1800-search.com, search-biz.org, y ourvoyeur.net deben ser filtradas. Y para mayor seguridad puede ser bloqueado el acceso al Puerto TCP/554

De ser necesario, los administradores deben tomar medidas drásticas. Como última medida el reproductor QuickTime debe ser desinstalado de los equipos hasta que no se publique una actualización que repare el problema.