Nuevos ataques contra una brecha de día cero en Windows
Symantec ha advertido que el código de explotación de una vulnerabilidad aún no parcheada en Microsoft 2000, Windows XP y Server 2003 ha sido añadida a un toolkit multiataque. Esto podría hacer que los intentos de explotación de la brecha aumenten en breve.
Symantec ha explicado que el código de ataque en cuestión, diseñado para aprovechar el agujero DirectShow cuya existencia Microsoft reconoció hace casi un mes, ha sido añadido al menos a un kit de ataque basado en Web. “Esto probablemente provocará un uso extensivo de este malware”, asegura Liam Murchu, investigador del grupo de respuesta de seguridad de Symantec en una entrada de blog corporativa.
La brecha en cuestión no afecta a las últimas versiones del sistema operativo de Microsoft, como Windows Vista o Server 2008, ni tampoco a la próxima versión de la plataforma, Windows 7, actualmente en fase de “edición candidata” (último paso antes de su lanzamiento comercial).
A diferencia de otras ataques a vulnerabilidades de día cero contra agujeros del software de Microsoft, los lanzados contra DirectShow no están dirigidos a individuos u organizaciones específicas. “No se trata de un ataque enfocado, pero sí es de distribución limitada”, señala Ben Greenbaum, director senior de investigación de Symantec.
Funciona como un ataque de phishing en el que una falsa página de log-in para el software Windows Live de Microsoft hospeda malware que intenta secuestrar los PC de los usuarios. El sitio de phishing redirige inadvertidamente al visitante a otra URL que hospeda el código de ataque, que tiene la forma de un archivo .avi malicioso. También pueden descargarse en el sistema de la víctima múltiples archivos .dll malformateados. Éstos, a su vez contienen un archivo .exe que descarga e instala un troyano que suma el PC comprometido a una botnet en crecimiento.
Aunque el parche para el problema aún no está disponible, Microsoft ha sugerido a los usuarios deshabilitar la funcionalidad de análisis gramatical de QuickTime sobre Windows 2000, XP y Server 2003. QuickTime, el reproductor multimedia de Apple no es la fuente de la vulnerabilidad, pero el analizador QuickTime en DirectShow, uno de los componentes de DirectX, sí.
Microsof ha publicado una herramienta que automatiza el proceso de cancelación de esta capacidad en Windows, que sin ella requeriría editar el registro Windows, y espera publicar el parche para la brecha en su próximo boletín de seguridad.
