• Tweet

Alrededor de 40 aplicaciones diferentes de Windows contienen errores críticos que pueden ser usados por los atacantes para infectar a PC"s con malware, comentó un investigador en seguridad, el miércoles.

El error fue parchado por Apple en su iTunes para Windows hace cuatro meses, pero prevalece en más de 3 docenas de programas de Windows, dijo HD Moore, oficial en jefe de seguridad en Rapid7 y creador de la herramienta de código abierto para pruebas de penetración, Metasploit. Moore tampoco reveló el nombre de las aplicaciones vulnerables o de sus creadores.

Cada programa afectado tendrá que ser arreglado por separado.

Moore primero insinuó abiertamente el error en un mensaje a través de Twitter, el miércoles. “El gato está fuera de la bolsa, este problema afecta alrededor de 40 diferentes aplicaciones, incluyendo el shell de Windows,” publicó y agregó un link hacia un boletin publicado por Acros, una firma eslovena de seguridad.

El boletín detallaba una vulnerabilidad en el iTunes para Windows, en la cual los hackers podrian explotar persuadiendo al usuario para descargar y abrir un archivo multimedia malformado, o al engañarlos para visitar un sitio web malicioso, donde podrían ser víctimas de un ataque dirigido.

Apple arregló el error para el iTunes de Windows en marzo pasado, cuando actualizó el reproductor de música a la versión 9.1. De acuerdo con Apple, el error no afecta a las computadoras Mac.

El boletín de Acros insinuó que aquella vulnerabilidad estaba presente no sólo en el iTunes. “ Detalles adicionales están disponibles para empresas y gobiernos interesados, bajo NDA (Non-Disclosure Agreement), debido a que una divulgación pública podría revelar muchos detalles de la vulnerabilidad y acelerar excesivamente aplicaciones maliciosas”, decía el informe.

Resulta extraño que Acros se percatara de la aplicación, si ésta había sido sólo de iTunes y más aún si había sido reparado meses atrás.

Moore confirmó que el error “se aplica a una gran cantidad de aplicaciones de Windows,” y agregó que se tropezó con éste mientras investigada la vulnerabilidad en los accesos directos en Windows, un error crítico que Microsoft reconoció en julio y que arregló el 2 de agosto, usando una de sus extrañas actualizaciones de emergencia, “fuera de ciclo”.

Moore rechazó mencionar las aplicaciones que tenían el error o dar más detalles acerca de la vulnerabilidad. Pero estaba deseoso de compartir algunas observaciones.

“El vector es un poco difente entre aplicaciones, pero el resultado final es un archivo .dll suministrado por el atacante que se carga después que el usuario abre un archivo “seguro” desde una ubicación de red (o también de la red local o internet),” comentó Moore en respuesta a un correo con preguntas al respecto. “Es posible forzar a un usuario a abrir un archivo, ya sea a través de su navegador o usando otras aplicaciones, como por ejemplo, documentos de Office con contenido incrustado.”

Moore hizo un recuento de los ataques que utilizaron la vulnerabilidad de accesos directos en Windows. Por ejemplo, los hackers fueron capaces de lanzar ataques dirigidos al explotar el error en los accesos directos, desde sitios maliciosos, a través de WebDAV y podian incrustar sus exploits dentro de documentos de Office, los cuales fueron entregados a las víctimas como archivos adjuntos inofensivos en correos electrónicos.

Su aviso, de que las aplicaciones vulnerables fueron parchadas, fue tomado también del libro de jugadas de acceso directo de Microsoft.

“Los usuarios pueden bloquear el tráfico de salida SMB (cerrando los puertos TCP 139 y 445) y deshabilitando al cliente WebDAV (en Windows) para prevenir que estos errores sean explotados desde fuera de la red local”, recomendó Moore.

Ambos escenarios de respuesta estuvieron dentro de las recomendaciones que Microsoft compartió a sus usuarios sobre lo que podrían hacer si fueran incapaces de aplicar la actualización de emergencia.

Pero a pesar de que Microsoft fue capaz de tapar el hueco de seguridad en los accesos directos con un parche de Windows, Moore se mostró pesimista de que la empresa pudiera ser capaz de hacer lo mismo con esta vulnerabilidad.

“Resolver el problema, requiere que cada fabricante genere un parche,” comentó. “Pueden existir otros escenarios de respuesta disponibles, pero el problema principal es con la aplicación en si misma, no necesariamente el sistema operativo Windows. También pueden existir soluciones aplicables a nivel de sistema operativo, pero es posible que perjudiquen a aplicaciones existentes.”

Microsoft confirmó que estaba investigando las reclamaciones de Moore, pero había poco que decir.

“Microsoft está investigando los reportes de una posible vulnerabilidad de ejecución remota de código que afecta a software ejecutándose sobre Windows,” dijo una portavoz por la mañana de este jueves. “Cuando hayamos completado nuestras investigaciones, tomaremos las acciones apropiadas para proteger a los usuarios y al entorno de internet.”

De acuerdo con Moore, al menos un ejecutable de Microsoft - “explorer.exe” en el shell de Windows – incluía este error.

Moore dijo que Rapid7 liberará más información acerca de la vulnerabilidad la próxima semana. Agregó, además, que un módulo de exploits fue escrito para Metasploit, pero que no ha sido liberado.