La vulnerabilidad en Internet Explorer podría ser obra de hackers chinos
Un ingeniero de Google cree que la nueva vulnerabilidad crítica en Internet Explorer (IE) podría estar provocada por hackers chinos. Microsoft, por su parte, ha pedido a un ingeniero de seguridad de Google que retrasara el lanzamiento de su fuzzer.
Una filtración accidental podría haber confirmado las sospechas de que hackers chinos están detrás de la vulnerabilidad crítica aún no resuelta de IE. Desde Microsoft han informado que están analizando la vulnerabilidad.
El fallo es uno de cerca de un centenar encontrados por un investigador de vulnerabilidades en navegadores e ingeniero de seguridad de Google, Michal Zalewski, que ha utilizado una nueva herramienta “fuzzing”. Las vulnerabilidades están en IE, Firefox, Chrome, Safari y Opera.
“Tengo razones para creer que la vulnerabilidad explotable es detectable por cross_fuzz”, ha declarado Zalewski, refiriéndose a la utilidad fuzzing “cross_fuzz” que él mismo ha creado.
Según el relato de Zalewski, un desarrollador que trabaja en WebKit, el motor del navegador de código abierto que está detrás del Safari de Apple y del Chrome de Google, “se filtró accidentalmente” la localización de la herramienta fuzzing no presentada en ese momento. El motor de búsqueda de Google luego añadió esa ubicación a su índice.
“El 30 de diciembre recibí consultas de búsqueda de una dirección IP en China, que coincidía con las palabras clave que mencionaba en uno de los archivos indexados de cross_fuzz”, explica Zalewski.
Esas búsquedas estaban intentando encontrar información en un par de funciones en “Mshtml.dll”, el motor de búsqueda de IE, que según Zalewski eran únicas para la vulnerabilidad, y que “de las que no había absolutamente ninguna otra mención en Internet en ese momento”.
La persona o personas que estaban buscando las funcionalidades luego se descargaron los archivos cross_fuzz disponibles.
“Esto es muy indicativo de un descubrimiento independiente del fallo en IE por medios independientes, pues otras explicaciones a estas dos búsquedas consecutivas parecen muy improbables”.
Zalewski lanzó cross_fuzz el sábado, incluso aunque Microsoft no había aún resuelto ninguno de los fallos de IE. Otros fabricantes de navegadores, como Mozilla y Opera, así como el equipo WebKit, habían resuelto algunos, aunque no todos, de los fallos que había encontrado Zalewski utilizando cross_fuzz.
Microsoft pidió a Zalewski que retrasara el lanzamiento de cross_fuzz, pero se negó, en parte por su temor a que la vulnerabilidad de IE ya estuviera siendo explorada por los hackers chinos, pero también porque los expertos de seguridad de la compañía no le habían respondido a la información que les había proporcionado.
“Puesto que Microsoft no me ha proporcionado una explicación a porqué estos problemas no habían podido ser investigados antes, he rechazado la petición de que retrasara la liberación de mi utilidad”.
En una cronología detallada de su intercambio de comunicados con Microsoft, Zalewski ha explicado que informó primero sobre sus descubrimientos y proporcionó una versión previa de cross_fuzz en julio. Según su versión, Microsoft no le contestó hasta que les dijo el 20 de diciembre que tenía previsto revelar la herramienta fuzzing a principios de enero.
“Tuve una conference call con MSRC (Microsoft Security Response Center) el 28 de diciembre. El equipo me expresó su preocupación sobre el impacto que podría tener, sugiriéndome que los cambios hechos a mi código durante julio y diciembre podrían no cubrir problemas nuevos que explicarían por qué no habían sido capaces de reproducirlos antes”.
Un día después, Microsoft admitió que no era capaz de reproducir los fallos que había encontrado el fuzzer utilizando el código de julio.
“El equipo de IE ha puesto examinado exhaustivamente los fuzzers, pero no ha sido capaz de encontrar los mismos problemas”, le comunicaron a Zalewski desde Microsoft el pasado 29 de diciembre. “Realmente no puedo decir por qué somos capaces de llegar a algunas de estas condiciones ahora y no antes, pero, por favor, tenga en cuenta que no es algo intencionado”.
La versión de Microsoft omite la mayor parte de los detalles que sí proporciona Zalewski, incluyendo el hecho de que fue capaz el mes pasado de reproducir la vulnerabilidad utilizando el fuzzer que tenía desde hacía cinco meses.
“En julio, ni Microsoft ni el investigador de seguridad de Google identificaron ningún problema”, ha explicado Jerry Bryant, portavoz de MSRC. “El 21 de diciembre, una nueva versión de la herramienta nos fue comunicada junto con información sobre un fallo potencialmente explotable encontrado en la nueva versión. Nos pusimos a trabajar inmediatamente para reproducir el problema con la actualización y la herramienta original y lo estamos investigando más a fondo para determinar si actualmente también es explotable”.
Microsoft y los investigadores de seguridad de Google ya han tenido algún encontronazo en el pasado. En verano, Tavis Ormandy, de Google, publicó el código de un fallo del Centro de Ayuda y Soporte de Microsoft después de que, según su versión, Microsoft rechazara establecer una fecha para su resolución.
Fuzzing es una práctica de búsqueda común para localizar vulnerabilidades y encontrar fallos en código. Un fuzzer automatiza la técnica mediante la introducción de datos en aplicaciones o en componentes del sistema operativo para ver si ocurren los problemas y dónde.
La vulnerabilidad que Zalewski encontró y que Microsoft afirmó estar investigando al parecer no está relacionada con el fallo sin resolver de IE que luego sí confirmó el 22 de diciembre.
Noticias relacionadas
Microsoft encuentra 1.800 agujeros en Office
Publican el código de ataque día cero para Explorer
Explorer es el navegador más seguro
Mozilla parchea 13 errores de seguridad de Firefox
