Por la explotación de una vulnerabilidad sin parchear en Internet Explorer se ha añadido un kit de software de actividades ilegales muy popular, un movimiento que probablemente empujará a Microsoft para corregir el defecto con una actualización de emergencia, asà lo digo un investigador de seguridad el domingo.
Mientras tanto, un experto en vulnerabilidad importante se ha aliado con Microsoft, que ha dicho que el fallo será difÃcil de explotar en Internet Explorer 8 (IE8), la versión más popular navegador de la compañÃa.
La semana pasada, Microsoft advirtió a los usuarios de sus navegadores IE6, IE7 e IE8 que los piratas informáticos ya estaban explotando una vulnerabilidad en los programas engañando para que visiten sitios Web maliciosos o comprometidos. Una vez en estos sitios los usuarios se sometieron a un “drive-by” ataque que requiere ninguna acción de su parte para tener éxito.
Symantec fue la primera en dar el informe de que IE tiene errores a Microsoft después de que el proveedor de antivirus habÃa capturado un spam haciéndose pasar por enviado de notificaciones de reservas de hoteles para seleccionar los individuos dentro de varias organizaciones.
El domingo, Roger Thompson, director de investigación de AVG Technologies, dijo que un exploit para el más nuevo fallo IE habÃa sido añadido al kit de ataque Eleonore, una de las varias herramientas disponibles fácilmente en sitios Web hackeados para secuestrar y visitar máquinas, a menudo con ataques basados en el navegador.
“Esto aumenta las expectativas considerablemente, ya que significa que cualquiera puede comprar el kit para unos pocos cientos de dólares, y tienen todo el trabajo hecho”, dijo Thompson en el blog de su compañÃa.
Microsoft ha prometido parche de la vulnerabilidad, pero la semana pasada dijo que la amenaza no justificaba un “out-of-band” de actualización, plazo de la empresa para un arreglo fuera de la habitual en el horario de los martes donde salen los parches mensuales. Microsoft ofrecerá tres actualizaciones de seguridad el 09 de noviembre, pero no solucionará el fallo de IE.
Thompson no estaba de acuerdo con la evaluación de Microsoft.
“Creo que tendré que [hacer una actualización fuera de la banda]“, dijo Thompson a través de mensaje instantáneo el domingo cuando se le preguntó a apostar si Microsoft lanzará un IE para solucionarlo antes de 14 de diciembre, la fecha siguiente parche regularmente programada después del martes. “Espero que los ataques se acelerará.”
Sin embargo, AVG – como Microsoft y Symantec – hasta ahora ha visto sólo un pequeño número de ataques que aprovechan la vulnerabilidad.
El exploit, agrega  Eleonore, puede haber sido desarrollado desde el kit de Metasploit de código abierto a pruebas de penetración. El jueves pasado, el investigador Joshua Drake añadido un módulo para aprovechar el fallo de IE para Metasploit.
“Vemos una gran cantidad de exploits esencialmente cortado y pegado de Metasploit [prueba de conceptos],” dijo Thompson.
Microsoft ha instado a los usuarios de IE para que el DEP, o la ejecución de la prevención de datos, para IE7, IE8 usen IE9, o ejecutar uno de sus automatizados “Fix-it” para agregar un CSS plantilla personalizada a sus navegadores como protección hasta que el parche está disponible .
La vulnerabilidad se encuentra en el motor de IE de análisis del navegador de páginas HTML, y puede ser explotado con una etiqueta especialmente diseñada con CSS (hojas de estilo en cascada).
Expertos de seguridad de Microsoft, digieron que era poco probable que los atacantes podrÃan explotar con éxito la falla en Internet Explorer 8 ya que el navegador de forma automática permite DEP, una medida defensiva en el horno de Windows que está diseñado para que sea imposible, o al menos difÃcil para los hackers para explotar los errores de forma fiable.
HD Moore, el director de seguridad en Rapid7 y creador de Metasploit, se hizo eco de Microsoft.
“Debido al control limitado de la memoria de sobrescribir, la explotación de esta falla es probable que sea difÃcil en todas las versiones de IE, pero la presencia del DEP hace que sea aún más difÃcil con IE8″, dijo Moore en una respuesta de correo electrónico a Computerworld‘s .
Microsoft también sugirió que los usuarios consideren migrar a IE9, el todavÃa explorador en construcción que fue lanzado como una versión beta pública a mediados de septiembre.
Pero ese camino no puede ser tomado por los usuarios de Internet Explorer 6, la versión más vulnerables y el parecer, el blanco de los ataques actuales, porque esa gente es casi seguro que ejecuta el navegador en Windows XP. IE9 no se ejecuta en Windows XP.
Navegadores rivales, como Firefox de Mozilla, Chrome, de Google Apple Safari y Opera de Opera Software, no son vulnerables al ataque de etiquetas CSS incorrectas.
Según las últimas estadÃsticas de la compañÃa Net Applications, IE8 representaron más de la mitad de todas las copias de Internet Explorer utilizadas el mes pasado, mientras que IE6 representado una cuarta parte de todos los navegadores Microsoft se ejecutan en el mismo perÃodo.
