El vertiginoso mundo de los exploits

No pasaron ni 24 horas desde que se publicaron las actualizaciones de seguridad de Microsoft de junio y ya la ingeniería inversa había dado sus frutos.

Han comenzado a proliferar nuevos exploits capaces de aprovechar las vulnerabilidades recién descubiertas para ejecutar código y recolectar víctimas.

Microsoft publicó el día 13 de junio, como cada segundo martes de mes, 12 boletines de seguridad que agrupaban 21 vulnerabilidades distintas. Desde octubre de 2004 no se recordaba un conjunto de vulnerabilidades tan numeroso. Incluso en aquella ocasión, fueron algunas menos las calificadas como críticas.

El aumento de parches no tiene nada que ver con la casualidad. Es posible que esté relacionado con la oferta que desde febrero realiza iDefense a quien descubra una vulnerabilidad crítica en Windows. Ofrece hasta 10.000 dólares, nada más y nada menos. Por si fuera poco, TrippingPoint, otra compañía privada, ofrece 50.000 dólares a quien encuentre fallos críticos no sólo en Windows, sino en “software popular”… Estas dos iniciativas son responsables en total, de seis de las vulnerabilidades descubiertas.

Pero el peligro no se encuentra sólo en el número de vulnerabilidades ni en que los “investigadores” sean motivados para descubrirlas, sino en el cada vez más corto lapso de tiempo que ocurre desde que se hace público un fallo y aparecen exploits para aprovecharlo. Antes de que se hiciesen públicos los boletines, ya se estaban aprovechando activamente tres vulnerabilidades descritas en MS06-021 y MS06-027, todas calificadas como críticas. Para dos vulnerabilidades descritas en el MS06-030, también se han hecho públicos exploits a partir de los boletines.

En total, se habla de que existen códigos públicos o privados para aprovechar hasta 6 de las 21 vulnerabilidades. Todo eso, tan sólo algunas horas después de que aparezcan los boletines y los parches y de que los usuarios puedan actualizarse.

Aunque no todas las vulnerabilidades están siendo aprovechadas en masa, el simple hecho de que existan suponen un grave problema. Como ya hemos repetido en varias ocasiones, el malware puede ser mucho más productivo y duradero si se ataca con él a un número de víctimas reducido. Es ese simple “capricho” circunstancial el que ha librado desde hace algunos años al resto de millones de usuarios de sufrir periódicamente un gusano o virus masivo que afecte a nivel mundial.

En lo referente a los administradores, ya no se puede hablar de ventanas de tiempo ni de periodo de pruebas para aplicar parches. Ya no existe ese intervalo de tiempo en el que los administradores podían permitirse ser vulnerables (porque no se conocía amenaza) en espera de probar los parches y su impacto en el entorno o simplemente para distribuirlos entre un gran número de máquinas. Hoy por hoy, deben actuar lo antes posible y además emprender una importante reforma en el sistema para mitigar el posible impacto de no aplicar parches o hacerlo a destiempo. Esto, en muchos entornos, no es siempre posible y se ven desbordados ante un trabajo a contrarreloj que puede acarrear incompatibilidades.

Y es que el panorama no invita a la relajación ni el despiste. En particular Microsoft advierte sobre la importancia de los boletines MS06-021, MS06-022 y MS06-023, cuyas vulnerabilidades permiten la ejecución de código con sólo visitar una página web con Internet Explorer.

Pero actualizar un sistema Windows tampoco garantiza nada. No pasaron ni 48 horas desde los últimos boletines, y ya ha aparecido un nuevo “0 day” o amenaza sin parche. Igual que se descubrió a mediados de mayo una vulnerabilidad en Microsoft Word que podía ser aprovechada por atacantes para comprometer el sistema, se acaba de hacer pública otra de similares características en Excel. Incluso las dos se han descubierto en parecidas circunstancias. La vulnerabilidad es aprovechada con sólo abrir un archivo XLS con Microsoft Excel. El código ejecutado intenta descargar malware desde una página web e inyecta código en Internet Explorer para saltarse posibles cortafuegos. Microsoft ha confirmado el problema y se está a la espera de más detalles. Para muchos, la sensación de un sistema completamente actualizado y razonablemente seguro se ha esfumado en cuestión de horas.

Este es un ejemplo más de la importancia y valor actual de una vulnerabilidad que permita la ejecución de código en programas populares. Instalar de alguna forma código no deseado en los sistemas operativos, es la piedra angular de las bandas organizadas detrás de los ataques de phishing y demás actividades ilegales, y la ejecución de código se consigue, en su mayoría, a través de las vulnerabilidades. Es lo que alimenta un negocio muy rentable y de ahí el ansia y la vorágine de información fresca y privilegiada que permita continuar con él.

El análisis, descubrimiento, parcheo y tráfico de vulnerabilidades se está convirtiendo en una carrera cada vez más veloz y vertiginosa en la que a nadie se le perdonará un descuido.