El reciente ataque a populares sitios Web, no se originó por una vulnerabilidad de los servidores, afirma Microsoft. Aunque ello sea así, los usuarios en cambio si fueron afectados por un fallo del Internet Explorer. Sepa que hacer para proteger su computadora.

El ataque del pasado viernes 25 de junio a populares sitios de Internet, fue detenido cuando un sitio Web ruso fue puesto fuera de línea. El mismo permaneció hasta el lunes 28 bajo la investigación de varias firmas de seguridad, todavía desconcertadas sobre el método utilizado para infectar un gran número de servidores IIS de Microsoft.

Sin embargo, la evidencia está conduciendo a los expertos, a aceptar la explicación de Microsoft, sobre que los servidores IIS 5.0 fueron comprometidos manualmente, y que su software no tiene una vulnerabilidad desconocida.

"Nadie que conozca todo sobre estos servidores fue infectado," dijo Ken Dunham, director de investigación de código malicioso en iDefense. "Si se tratara de una vulnerabilidad extendida, ¿cómo es que no fueron infectados más servidores? Si ése hubiera sido el caso, deberíamos haber oído más informes sobre muchas otras computadoras infectadas con este código en JavaScript".

El código, identificado como SCOB, TOOFER, o DOWNLOAD.JECT, infectó usuarios de Internet Explorer al visitar dichos sitios, y estos descargaron a su vez un troyano de un sitio en Rusia, lo que comprometió la seguridad de sus datos.

* Servidores vulnerables

Microsoft lanzó una declaración el sábado, donde demandaba que el origen del ataque, que infectó a un número desconocido de servidores IIS, y que alternativamente envió código malicioso a los usuarios que hubieran navegado con el Internet Explorer por los sitios afectados, "no es un gusano o un virus. Es decir este ataque es un ataque hecho manualmente a servidores específicos."

Symantec, dijo Oliver Friedrichs, jefe del equipo de respuesta de la compañía, también se inclina hacia hackeos manuales. "Eso es lo que parece," dijo él. "No es ciertamente un gusano o un exploit automatizado."

Microsoft dijo que todos los servidores comprometidos funcionaban con IIS 5.0 sin los parches (publicados en abril), que solucionaban una vulnerabilidad que fue divulgada en ese entonces. Algunas firmas de seguridad teorizaron la semana pasada, sobre que incluso los sistemas ya actualizados eran vulnerables, pero hoy esto parece haber sido solo una falsa alarma.

Un analista de seguridad que pidió no ser nombrado, comentó que es muy probable esos informes fueran originados por administradores que intentaban hacer un control de daños. "Quizás aplicaron mal el parche, o pensaron haberlo aplicado, o no lo aplicaron en todos los equipos y ahora dicen que lo hicieron. Es más fácil decir que 'hay algunos hackers listos por allí afuera' que admitir que han sido atrapados con sus pantalones bajos."

Un conteo de servidores infectados, fue proporcionado el lunes 28 por Cyveillance, fabricante de utilidades de administración que miden el riesgo en línea. El domingo, Cyveillance detectó 641 sitios que habían sido infectados por el código malicioso.

La compañía usó su auditoria de junio de más de 50 millones de dominios, para establecer claramente los 6.2 millones de sitios conocidos que utilizan IIS 5.0. Después de haber analizado todos esos sitios en busca de la infección, llegó a la cifra de tan solo 641 anteriormente mencionada. Si los números de Cyveillance están correctos, eso significa menos de una centésima parte del 1% de todos los servidores bajo IIS 5.0.

* Usuarios bajo la lupa

El cuadro está más claro del lado del cliente, donde el Internet Explorer sigue siendo vulnerable a las iteraciones futuras con este tipo de código malicioso entregado por los servidores. El ataque de la semana pasada se valió de dos vulnerabilidades en este navegador, ambas conocidas pero solamente una de ellas ya reparada por Microsoft.

"Esto es algo muy grande,", argumenta Dunham, cuya compañía ha seguido el rastro del ataque hasta un conocido grupo de piratas informáticos conocidos como "HangUP", ubicados en Rusia. "HangUP tiene ahora un nuevo truco en su bolsillo para atacar a usuarios del Internet Explorer a su voluntad."

"El grupo ha acumulado centenares de megabytes de información financiera robada," dijo Dunham, "y las vende en el mercado negro. El ataque de la semana pasada fue hecho para distribuir los capturadores de teclados (keyloggers) y los caballos de Troya que controlan las máquinas de los usuarios vulnerables, para robarles la información de sus cuentas y sus números de tarjetas de crédito."

"Y este grupo no se va a detener. Si venden un número de tarjeta de crédito por apenas uno o tres dólares, y ellos tienen centenares de megabytes de datos, haga usted las cuentas," expresa Dunham. "Un millón de dólares en Rusia es mucho dinero. Y pueden reclutar a nuevos miembros porque tienen un modelo de negocio (ilícito) que trabaja."

En otras palabras, hay que esperar más de estos ataques. Friedrichs expresa que el potencial para que ocurran otros ataques futuros es real: "Podríamos verlos en un par de días o un par de semanas."

Hasta que la vulnerabilidad del Explorer sea remendada por Microsoft, los usuarios deben confiar en una combinación de prácticas y algunos trucos para navegar más o menos seguros.

Los sitios comerciales más importantes ya han actualizado todos sus parches relacionados con la vulnerabilidad del IIS, pero los pequeños quizás no. "Utilice su sentido común cuando usted navegue," aconseja el experto.

Aunque Microsoft afirma que su futuro Service Pack 2 para Windows XP, es invulnerable a este tipo de ataque, lo cierto es que esta no es una solución por el momento, ya que además de estar disponible una versión beta (no recomendada bajo ningún concepto cuando se está hablando de seguridad), la misma solo está disponible para sistemas operativos en inglés.

* Las recomendaciones para los usuarios

(Por José Luis López de VSAntivirus.com)

Algunas de las recomendaciones parecen obvias, como las de utilizar otro navegador en lugar del Internet Explorer. Sin embargo, hay muchas interacciones con este software en Windows, como para pretender que de ese modo estaremos a salvo.

Si bien es cierto que haciendo eso nos protegemos de por lo menos UNA vulnerabilidad no corregida, nada nos asegura que eso nos proporcione más tranquilidad en el futuro, ya que aún usando otro navegador, muchas vulnerabilidades pueden ser explotadas a través de otros componentes del propio sistema operativo.

Basándome en la premisa que ningún software es cien por ciento seguro, prefiero algo conocido que de algún modo puedo controlar, que otros programas que tal vez hoy algunos vean como la panacea, pero que la única razón para que por el momento parezcan más seguros, es porque todavía son utilizados por muchos menos usuarios.

Personalmente, recomiendo las reglas sugeridas en el artículo cuyas referencias se dan más abajo, además de tener las actualizaciones de Windows, Internet Explorer y Outlook Express al día (ejecutar Windows Update). De todos modos, creo es bueno tener en cuenta también las siguientes recomendaciones sobre el objeto "AdobeB.stream" de ActiveX.

* Sobre la vulnerabilidad "AdobeB.stream"

La vulnerabilidad no remendada del Internet Explorer, que posibilitó el ataque e infección de usuarios domésticos con el gusano "Scob", está relacionada con un control ActiveX que permite la ejecución de código sin la autorización explícita del usuario.

El problema con el IE se produce con un popular plugin para el visor SVG de Adobe (Scalable Vector Graphics), un lenguaje basado en XML para crear y controlar vectores gráficos.

Algunos expertos recomiendan que el usuario habilite el control "kill bit" en el registro de Windows para deshabilitar el ActiveX vulnerable (AdobeB.stream) desde el registro.

Para ello debe buscar esta entrada:

HKEY_LOCAL_MACHINESOFTWARE
MicrosoftInternet Explorer ActiveX Compatibility
{00000566-0000-0010-8000-00AA006D2EA4}

Y agregar el siguiente valor (400 en hexadecimal):

Compatibility Flags = 400

También puede utilizar la siguiente herramienta creada por el distribuidor italiano de Nod32:

http://www.nod32.it/tools/kbado.zip

Sólo descomprima el contenido del zip en una carpeta y haga doble clic sobre el ejecutable. Si su sistema no es vulnerable aún, la propia herramienta se lo indicará, pero en este caso, no impedirá que se instale en el futuro.

Si de todos modos desea deshabilitarlo para que no se instale en ningún momento, solo descargue y ejecute el siguiente archivo .REG, haga doble clic sobre él y acepte agregar su contenido al registro.

http://www.videosoft.net.uy/adobeb-stream-kill-bit.reg

Otra recomendación, es configurar el Internet Explorer como se indica en el siguiente artículo:

Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm

Dicha configuración, previene la acción de cualquier otro código malicioso basado en ActiveX.

Un comentario final. Si bien esta última configuración desactiva también el objeto "AdobeB.stream", éste puede quedar activado si se visita un sitio de confianza. Con los consejos para deshabilitar "AdobeB.stream" específicamente, nos aseguramos que éste no se active en ningún sitio.

* Artículos relacionados:

Sitios Web confiables, pueden infectar a usuarios desprevenidos
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=454

Todo sobre SCOB y su ataque a servidores de Internet
http://www.vsantivirus.com/faq-scob.htm