Avalancha de parches para la vulnerabilidad en ficheros ANI

McAfee dio a conocer el pasado día 28 de marzo una grave vulnerabilidad en Microsoft Windows que permitía a atacantes ejecutar código de forma totalmente silenciosa.

Poco después, se hacía público un exploit y los acontecimientos se han precipitado. Hasta tres parches no oficiales se han publicado y el oficial de Microsoft se adelanta para salir el día 3 de abril, rompiendo su ciclo habitual de los segundos martes de cada mes.

Microsoft confirmaba la existencia de la vulnerabilidad el día 31 de marzo. Se trata de un fallo en el tratamiento de archivos ANI que afecta a casi todas las versiones recientes de Windows: 2000 SP4, XP SP2, XP 64 bits, Server 2003, Server 2003 64 bits y Vista. El problema se basaba en una vulnerabilidad ya conocida y solventada (al parecer no del todo), calificada con el boletín MS05-002 por Microsoft y descubierta inicialmente por eEye.

El ataque se llevaría a cabo a través de documentos HTML, imágenes JPG, o ficheros ANI propiamente que referenciasen a un archivo ANI especialmente construido. Al ser cargado por el navegador, ejecutaría de forma silenciosa código arbitrario en el sistema afectado. Los usuarios de Internet Explorer 7 en Windows Vista no se verán afectados debido al modo protegido de IE7. Tampoco prosperarían ataques a través de Microsoft Outlook 2007.

eEye publican el mismo día 28 un parche no oficial. Esta primera aproximación no ataca realmente a la vulnerabilidad. Simplemente evita que los cursores animados se carguen fuera del directorio de sistema. Así, las páginas que intentaran aprovecharse de esto no podrían ejecutar sus cursores, pero un exploit especialmente preparado podría eludir este parche. Poco después, la organización ZERT publica una nueva actualización no oficial que sí ataca de raíz el fallo, evitando que cualquier exploit funcione y finalmente ejecute código arbitrario.

Cuestión de horas después, Microsoft anuncia oficialmente que sacará el día 3 de abril un parche fuera del ciclo habitual de los segundos martes de cada mes. En su propio blog, indica por qué tanta “velocidad” en su actuación, cosa que seguro “se estará preguntando la gente”. Explica que los ataques se han incrementado durante el fin de semana, que existe exploit público y que en realidad, estaban investigando el fallo desde finales de diciembre de 2006. De hecho, pensaban sacar el parche para este problema el día 10 de abril, en su ciclo habitual, pero dadas las circunstancias se adelanta una semana.

Por último, en lo que se ha convertido en una verdadera avalancha de soluciones, una tercera entidad privada saca un nuevo parche de emergencia que se engancha a la API vulnerable protegiéndola. Se trata de X-Solve, una compañía de Taipei (Taiwán) que entra por primera vez en escena en el campo de los parches no oficiales.

Los parches no oficiales están de moda, y no es nada nuevo. Simplemente, cabe recordar lo que ya escribíamos en este mismo espacio hace justo un año: “Es posible que nos hallemos ante una nueva tendencia en la que compañías y empresas de seguridad se adelantan a la propia Microsoft con la intención de obtener reconocimiento, prestigio, visitas y popularidad. Al margen de la eficacia de estos parches y de la libre decisión de usarlos o no, lo indudable es que estas maniobras estimulan a Microsoft de forma indirecta para la publicación de un parche oficial y provocan una importante presión mediática en la compañía, en cuya política de publicación de seguridad prima la calidad (dedican mucho más tiempo a pruebas que al desarrollo) antes que la velocidad de publicación.”