La avalancha Aurora

Deben ser tiempos difíciles en los laboratorios de seguridad de Microsoft: ya se está explotando abiertamente el reciente 0-day de Internet Explorer que permite la ejecución remota de código a través de una página web especialmente manipulada. Urge un parche…

Tras el ataque de origen chino contra Google y (al menos) a otras 33 empresas, los investigadores comenzaban a estudiar las técnicas que se utilizaron para el mismo. Es entonces cuando McAfee quién, analizando los binarios, descubría (y notificaba a Microsoft) la nueva vulnerabilidad de IE y encontraba el nombre Aurora en una de las rutas del código malicioso: el exploit era bautizado como Aurora.

Ironías de la vida, un remitente anónimo en la página de Wepawet (un proyecto de análisis de malware de la Universidad de California) publicaba después el código original y, al día siguiente, Metasploit no tardó en incluir el exploit en sus módulos, un exploit que afecta a la versión 6 de Internet Explorer y Windows XP.



A partir de este momento podemos hablar de que la vulnerabilidad puede ser explotada fácilmente por cualquiera y, lo que es peor (o mejor, según se mire), seguramente pronto se publicarán más formas de explotarlo y para todas las versiones de IE, como ya afirma Dino Dai Zovi. Por no hablar de la avalancha de malware y sitios web maliciosos que ahora mismo se deben estar “equipando” con este exploit…

¿Y qué pueden hacer los usuarios de IE hasta que aparezca una solución definitiva?

Pueden activar DEP (Data Execution Prevention) en Internet Explorer aunque, según comentan, esto sólo haría un poco más difícil la consecución del éxito del exploit, o rezar para que surga un fallo inesperado del navegador:


También pueden confiar en una contramedida adicional como un antivirus, aunque ya os avisamos que esto tampoco sería totalmente efectivo. Basta como ejemplo que uno de los principales investigadores como es McAfee probablemente detectaría la introducción de un ‘tercer’ malware, o un desbordamiento al lanzar la shell inversa con meterpreter…


…pero no se percataría de la ejecución de cualquier comando del sistema, como muestra el siguiente ejemplo al lanzar simplemente la calculadora de forma remota:


Entonces, y tal y como aconseja gobierno francés y alemán, ¿deben los usuarios de IE utilizar otro navegador para estar más seguros?.

Demasiado tajante, siempre habrá productos vulnerables.

Lo que parece más coherente es afinar la configuración de seguridad del navegador y utilizar siempre una conjunción de medidas adicionales contra amenazas, como serían firewall personales, HIDS y otros.

Y lo digo como usuario que prefiere Firefox a Internet Explorer.. porque, ¿quién nos dice que en un futuro no aparecerán nuevos "0-days in the wild" contra nuestro navegador favorito?

1 comentarios:

  1. On Wednesday, January 20, Microsoft announced on the Microsoft Security Response Center (MSRC) blog that they would be releasing the update on Thursday, January 21. This announcement is available here:

    http://blogs.technet.com/msrc/archive/2010/01/20/advance-notification-for-out-of-band-bulletin-release.aspx

    ResponderEliminar