Introducción
Los expertos en seguridad informática han pronosticado que 2007 será un año crucial en el campo de la lucha contra los virus informáticos, algo que sin duda tendrá impacto en toda la comunidad informática.
En 2007 se espera que los creadores de virus sigan interesándose por los programas troyanos que roban la información de los usuarios. Los principales objetos de los ataques continuarán siendo los usuarios de diferentes sistemas bancarios de pago y los participantes de juegos en línea. Los autores de virus y los spammers continuarán trabajando codo a codo: los ordenadores infectados se usarán no sólo para organizar nuevas epidemias o ataques, sino también para enviar spam.
En lo que concierne a las vías de penetración de los programas maliciosos en los ordenadores, las principales seguirán siendo el correo electrónico y las vulnerabilidades de los navegadores de Internet. Los métodos de propagación de los programas maliciosos tales como redes P2P o canales IRC no serán masivos, pero sin duda se usarán, sobre todo localmente (por ejemplo, el cliente P2P Winny, muy popular en Japón, puede convertirse en un serio problema para los usuarios asiáticos). Los sistemas de mensajería instantánea seguirán entre los tres medios más usados para los ataques, pero no creemos que este método de propagación de virus gane más presencia. .
En general, las epidemias y ataques virales tendrán geografías más determinadas. Por ejemplo, en la región asiática predominarán los troyanos para juegos y los gusanos con funciones virales, en cambio en Europa y EEUU prevalecerán los troyanos espías y las puertas traseras. Latinoamérica seguirá sufriendo los embates de los troyanos “bancarios”. .
Sin ninguna duda, el tema principal de 2007 será el nuevo sistema operativo de Microsoft, Vista y las vulnerabilidades relacionadas con el mismo.
Se puede también pronosticar un significativo crecimiento de los programas nocivos para otros sistemas operativos: en primer lugar para MacOS, y luego para los sistemas *nix. Tampoco se ignorarán las consolas como PlayStation y Nintendo. El creciente número de estos dispositivos y sus posibilidades de comunicación con sus semejantes y con Internet pueden atraer la atención de los autores de virus, por el momento con motivaciones exclusivamente de investigación y travesuras. Puede suceder que los virus para los “casi ordenadores” en 2007 superen ciertos límites y entren en un estadio de impetuoso crecimiento, sin embargo esta probabilidad no es muy alta.
Los programas nocivos usarán tecnologías cada vez más avanzadas y buscarán nuevos métodos de disimular su presencia en el sistema. Los avances en el campo del polimorfismo, ofuscación del código y tecnologías de rootkit se masificarán aún más y prácticamente se convertirán en norma para la mayoría de los nuevos programas nocivos. .
Crecerá el número de ataques de gran precisión dirigidos contra compañías medianas y grandes. Aparte del tradicional robo de información, estos ataques se dirigirán a la extorsión de las organizaciones víctimas, entre otros objetivos, pidiendo dinero por descifrar datos. Uno de los principales métodos de penetración en los sistemas serán los ficheros de Microsoft Office y las vulnerabilidades de este producto.
Internet: campo de batalla
El final del año 2006 fue difícil para las compañías antivirus en todo el mundo. Los investigadores de virus se encontraban en estado de máxima alerta, movilizando todos sus recursos durante el último trimestre de ese año.
Esto se debió a una serie de prolongados ataques sin precedentes y a gran escala en Internet causados por los anónimos autores de la familia de gusanos de correo Warezov. Las primeras muestras de este gusano hicieron su aparición en Internet en octubre de 2006 y entraron en intensa actividad a fines de ese mes, cuando hasta 20 variantes aparecieron en un lapso de 24 horas.
En muchas maneras, Warezov guarda gran similitud con el conocido Bagle. Aunque Warezov se basa en el código fuente Mydoom.a, y Bagle era un programa completamente original creado por un grupo de desconocidos elaboradores de virus, nos inclinamos a creer que estos dos gusanos están relacionados. Primero, las maneras en que se organizaron las epidemias son en extremo similares, con un gran número de variantes enviadas masivamente a través de correo en cortos periodos de tiempo, y que difieren según la región geográfica (por ejemplo, las variantes distribuidas en Rusia difieren de aquellas diseminadas en Europa). En segundo lugar tenemos su funcionalidad: la instalación de otros módulos de gusanos desde sitios base de troyanos y la recolección de direcciones de correo electrónico que son enviadas a un usuario maléfico remoto son idénticas. Bagle fue el primero en utilizar esta tecnología de virus para proveer de material fresco a las bases de datos de direcciones de los elaboradores de spam. Warezov hizo exactamente lo mismo.
Todo esto, junto a la aparición de Warezov y el cese de nuevas variantes de Bagle, sucedió en la misma semana. Resulta difícil creer que los autores de Bagle de pronto decidieran retirarse del negocio, dejando que otro tome las riendas. Tal vez ambos gusanos son la creación de un solo grupo.
A finales de 2006 se habían detectado más de 400 variantes de Warezov. Los autores de este gusano organizaron un gran número de envíos masivos de corta duración portando las más recientes variantes, lo que originó la creación de una red zombi (botnet) gigante. Si tomamos en cuenta que Warezov también se apodera de direcciones de correo electrónico, resultaba evidente que se avecinaba una ola de ataques spam y phishing. Warezov fue creado y diseminado con un objetivo en mente: utilizar los equipos infectados como servidores proxy de correo en el futuro.
Contra toda intención y propósito, los autores del gusano y sus clientes se habían anexado una gran parte del mercado negro de los correos masivos. Esto tendría que originar una reacción de la competencia, cuyo contraataque era sólo una cuestión de tiempo.
El 18 de enero de 2007 el huracán Kyrill asoló Europa. La tormenta de nieve se cobró la vida de más de 30 personas. Decenas de miles de europeos se quedaron sin energía eléctrica, sin transporte y sin conexión para sus teléfonos móviles. La atención del mundo se concentraba en los sucesos reportados por los medios de comunicación minuto a minuto.
El 20 de enero otra tormenta causó estragos, esta vez, en los correos electrónicos. El gigantesco envío de correo contenía mensajes con algunos de los asuntos abajo mencionados. Los asuntos estaban, por supuesto, diseñados de manera que el usuario activara el archivo contenido en el mensaje: :
- 230 víctimas de la tormenta que golpea a Europa.
- Misil ruso derriba satélite chino
- Misil chino derriba avión norteamericano
- ?Saddam Hussein está vivo!
- Líder venezolano:“Que comience la Guerra”.
- Muere Fidel Castro.
- Muere el Presidente de Rusia
- ?Estalla la Tercera Guerra Mundial!
Los archivos incluidos en los mensajes eran en realidad un programa troyano, clasificado como Trojan-Downloader.Win32.Small.dam y Trojan-Downloader.Win32.Small.bet. Este troyano descargaría otros componentes al ordenador víctima, lo cual resultaba en un nuevo y extremadamente agresivo gusano de red que empleaba tecnologías rootkit. De manera extraoficial, fue bautizado como “Storm Worm” (Gusano tormenta). El nombre oficial que consta en nuestras bases antivirus es Email-Worm.Win32.Zhelatin.a.
Un análisis detallado de este gusano y de las variantes que lo sucedieron en los siguientes días arrojó algunos resultados interesantes. Al igual que Warezov, Zhelatin convertía el ordenador cautivo en un servidor Proxy troyano que podía ser utilizado como una plataforma de envíos masivos de correo electrónico. También creaba una red zombi capaz de lanzar ataques DDoS. Pero ¿cuál fue uno de los principales blancos? Los sitios utilizados por los autores de Warezov junto a varios otros sitios que pertenecían a organizaciones antispam. En febrero fue el pico de la epidemia causada por algunas variantes de Zhelatin.
Había estallado la guerra entre los grupos detrás de Warezov y Zhelatin. Tomando en cuenta la escala de las redes zombi controladas por cada grupo, las cuales estaban diseñados para lanzar múltiples ataques, esto parecía destinado a ser uno de los problemas más graves de Internet en los últimos años.
La ciberguerra más notoria hasta ahora fue aquella en la que se enfrentaron Mydoom, Bagle y Netsky entre marzo y mayo de 2004. Internet se inundó con docenas de variantes de estos gusanos que buscaban a sus rivales en los equipos afectados y los eliminaban, infectando a su vez los ordenadores. Esta guerra culminó con la detención de Sven Jaschan, un joven alemán de 18 años, creador de Netsky. No obstante, sus creaciones son aún hoy en día uno de los gusanos más extendidos en el tráfico de correo. De los rivales de la guerra de virus de 2004, sólo los creadores de Bagle se mantienen en actividad. Sin embargo, se diluyeron entre las sombras y no mostraron ninguna reacción ante el surgimiento de Warezov, lo cual nos lleva a creer que de alguna manera tienen que ver con la creación de este gusano. Sin embargo, reaparecieron en enero con una variante de Bagle que se convirtió en el programa malicioso más extendido en el tráfico de correo electrónico.
Se ha dado una interesante situación. Tres grupos rivales, de diferentes partes del mundo, que hacen una sola y misma cosa: crear redes zombi para enviar spam y como recolectar direcciones de correo electrónico. Todos ellos dependen del dinero financiado por los spammers que están dispuestos a pagar por el mayor botnet y la mayor base de datos de direcciones de correos. Esto los obliga a competir entre ellos utilizando todos los medios a su alcance, lo cual lleva a un ciclo interminable de ataques a los usuarios. Para lograr su cometido, tienen que encontrar, sin tregua alguna, métodos cada vez más efectivos en evadir los filtros antivirus.
Por una parte, los autores de Warezov comenzaron a responder a los ataques de Zhelatin en marzo y, por otra, nuevas variantes de Bagle han estado apareciendo varias veces desde enero. Mientras que a fines del año pasado las compañías antivirus tenían que combatir a un solo grupo, ahora la complejidad y el volumen de la tarea se ha triplicado. Todo esto se resume en el aumento de ataques spam y phishing.
Casi el 32 por ciento de todos los códigos maliciosos en el tráfico de correo en marzo de 2007 se componía de Trojan-Spy.HTML.Bankfraud.ra. Esta es una consecuencia directa de las epidemias causadas por Bagle, Zhelatin y Warezov. Bankfraud.ra es un típico correo phishing, del cual se han propagado millones de copias alrededor de todo el mundo. Además, hemos detectado mensajes repetidos de este troyano. Detectado por primera vez el 27 de febrero de 2007, estaba dirigido a los clientes de Branch Banking and Trust Company (BB&T), engañándolos para visitar sitios falsos registrados por usuarios piratas en Croacia y en las Islas Cocos (Keeling).
Sólo nos queda adivinar cuál de los tres grupos elaboradores de virus es el verdadero responsable de este ataque phishing. En lo que a mi respecta, mi apuesta es por Zhelatin…
Un gran alboroto en la pequeña China
Kaspersky Lab descubrió las primeras variantes del gusano-virus Viking a principios de 2005. En ese entonces no era nada del otro mundo y no se diferenciaba del resto de los virus: se copiaba a sí mismo a los recursos compartidos, infectaba los ficheros, trataba de descargar ficheros de Internet y robar las contraseñas de acceso a varios juegos en línea.
Todo 2005 el anónimo autor de Viking no estuvo muy activo. Publicaba no más de una variante cada dos meses. Pero en abril de 2006, con la aparición de Viking.h, se hizo más diligente y en septiembre del mismo año el número de variantes conocidas de este gusano superó la treintena. Y después empezó en China una epidemia que podría compararse con la del virus Warezov, que tuvo lugar al mismo tiempo.
Decenas de nuevas modificaciones de Viking aparecían cada semana, decenas de miles de sitios web chinos lo propagaban, nuestro laboratorio recibía muchas solicitudes de ayuda de los usuarios asiáticos. Muy pronto quedó claro que era una epidemia de dimensiones nacionales que afectaba al territorio chino.
Gracias a Viking China ocupó el primer lugar en el mundo por el número de programas nocivos creados. Y es precisamente gracias a Viking que una clase poco numerosa de gusanos que se difundía en redes locales y contagiaba ficheros, en 2006 experimentó un notable aumento de su población (ver el informe anual).
El invierno de 2007 nos trajo un nuevo “rompecabezas chino”. Una parte de las nuevas modificaciones de Viking empezó a diferenciarse tanto de la variante original, que tuvimos que clasificarla como una nueva familia, Fujack. Y esto coincidió con un nuevo brote de la epidemia. En enero y febrero Fujack fue el principal problema para los usuarios chinos. La información sobre el “virus panda” (que cambiaba el icono de los ficheros infectados por una figura de un oso panda) inundó las noticias de las agencias de información asiáticas.
Aquí es necesario desviarnos del tema y analizar por qué un gusano que no utilizaba ni correo ni redes pudo propagarse en cantidades tan increíbles y por qué lo hizo precisamente en China.
Las principales causas son las siguientes:
- En el segmento chino de Internet las redes de intercambio de archivos son más populares que en otros países.
En China existen miles de servidores que son gigantescos lugares de almacenamiento de ficheros. Sin duda, cuando la piratería es la única forma de que los usuarios puedan obtener los programas que les interesan, estos servidores se hacen muy populares. Es probable que en estos servidores se pueda encontrar cualquier programa para ordenador. Allí los usuarios se dedican al intercambio de ficheros y es suficiente un solo fichero infectado para que decenas de miles de usuarios se conviertan en víctimas. Los focos de infección de Viking y Fujack descubiertos por nuestro laboratorio fueron precisamente estos sitios.
- Eran varias personas las que se dedicaban a propagar el virus. El autor vendía a quien lo solicitara variantes exclusivas de Fujack, orientadas a robar los datos de los usuarios de juegos en línea. Este es el origen del gigantesco número de variantes del gusano y de los varios focos de infección.
- Las impresionantes dimensiones de las redes locales, sobre todo de las universidades chinas. Al penetrar a la red, el virus infectó rápidamente miles de ordenadores que tenían recursos de red compartidos.
Me parece que estamos ante una epidemia muy especial, que no podría haber ocurrido en ningún país que no fuera China. Y a pesar de las dimensiones que tuvo, el virus no logró salir de los límites del país y casi no causó infecciones en Europa y EEUU. Probablemente esto sea una consecuencia de la “muralla virtual” entre China y el Internet del resto del mundo.
Como resultado, sucedió algo que no esperábamos, pero en lo que habíamos depositado nuestras esperanzas. El 12 de febrero la agencia de información Xinhua difundió un comunicado sobre el arresto de varios sospechosos de haber creado el gusano Fujack. En total se arrestó a 8 personas, entre ellas Li Jun, de 25 años, alias WhBoy. Li Jun confesó que con la creación y venta del gusano a otros hackers había logrado ganar 12.500 dólares. Declaró también que empezó a escribir virus porque no pudo encontrar trabajo en el campo de la informática.
Según algunas fuentes este fue el primer arresto de un creador de virus en China. No estoy seguro de que éste sea el primer caso, sin embargo, es indudable que antes no se había arrestado a autores de virus de esta magnitud en China.
Como Li Jun solía “firmar” sus creaciones, traté de buscar en nuestra colección de virus todos los programas nocivos que contienen en su código la palabra WhBoy. La lista resultante es algo realmente impresionante:
- varias decenas de Trojan-PSW.Win32.Lmir, troyanos que roban las contraseñas del juego Legend of Mir;
- Varias decenas de Trojan-Downloader.Win32.Leodon;
- todos los gusanos de la familia Email-Worm.Win32.Lewor;
- una serie de Backdoor.Win32.WinterLove;
- varias decenas de Trojan-PSW.Win32.Nilage, troyanos que roban las contraseñas del juego Legend of Mir;
- varias decenas de Trojan-PSW.Win32.QQRob, troyanos que roban las contraseñas del mensajero instantáneo chino QQ;
- Los gusanos Viking y Fujack.
Si WhBoy es de verdad el autor de todos estos programas nocivos, podemos considerarlo como uno de los creadores de virus más prolíficos de la última década.
Pero he aquí un hecho gracioso: la policía china exigió a Li escribir un antivirus que desinfectara los ordenadores contagiados por Fujack. Li trató de hacerlo. Pero su programa no fue capaz de curar los sistemas infectados. El autor del virus no pudo vencer a su propia criatura. ¿Podría el lector imaginarse una situación más cómica?
Grandeza y miseria de Windows Vista
Sin duda alguna, el lanzamiento de Vista, el nuevo sistema operativo de Microsoft, al mercado a fines de enero de 2007 constituyó un gran evento, no sólo para la industria antivirus, sino para el mundo de la informática en su conjunto. Microsoft había anunciado que la más reciente versión de su sistema operativo sería la más segura en toda la historia de Windows y que se resolverían muchos problemas de seguridad que habían dado lugar a epidemias virales en el pasado.
Interrogantes acerca de cuán seguro sería el nuevo sistema operativo empezaron a plantearse mucho antes del lanzamiento de la versión beta de Vista. ¿Cuáles serían exactamente las funciones de seguridad y cuán efectivas serían? ¿Sería evidente que Vista haría innecesarias las soluciones antivirus?.
La lista de funciones claves resultó ser impresionante: User Account Control, Patch Guard (para proteger el kernel) y medidas de seguridad de Internet Explorer 7, Address Space Layer Randomization, Network Access Protection, y Windows Service Hardening. Además de todo esto, Vista viene equipado con Windows Defender, un cortafuegos y antivirus integrado.
Los profesionales en seguridad informática coincidieron en que ninguna de estas innovaciones tendría un efecto significativo en los virus. Pruebas realizadas por varias compañías antivirus demostraron que alrededor del 90 por ciento de los programas maliciosos diseñados para ejecutarse en los sistemas Windows XP lograría funcionar en Vista. Y, por supuesto, las vulnerabilidades en el nuevo sistema operativo también constituirían un tema aparte.
A pesar de las garantías de Microsoft en sentido de que el nuevo sistema operativo respondía a un nuevo diseño casi total y de que se tomarían medidas sin precedente para garantizar la seguridad desde el mismo inicio del proceso de desarrollo, y de que un singular sistema de verificación había sido implementado con éxito, todos estaban seguros de que habría problemas. No se trataba tanto de si “las vulnerabilidades críticas serían identificadas en Vista”, sino más bien de “cuándo serían identificadas”.
Vista se lanzó al mercado el 30 de enero de 2007, y desde ese momento comenzó la carrera para encontrar sus vulnerabilidades. Hackers de todo el mundo concentraron su atención en Vista, buscando una falla de “día cero” que podría ser utilizada para crear programas maliciosos.
A dos semanas del lanzamiento, el 13 de febrero, Microsoft divulgó el nuevo paquete de parches. Este paquete incluía parches para seis vulnerabilidades críticas y seis importantes, una de las cuales era, como de costumbre, una grieta en Microsoft Excel. A menudo nos hemos referido a las múltiples vulnerabilidades detectadas en Microsoft Office 2006. A pesar de todos los parches distribuidos, aún se siguen identificando nuevas fallas, las cuales son inmediatamente vulneradas por los piratas informáticos.
Sin embargo, el paquete de parches de febrero ?no incluía ni una sola vulnerabilidad en Vista! Esto sorprendió a todos y podría interpretarse como una confirmación de que el nuevo sistema operativo era verdaderamente seguro. Sin embargo, había un “pero” de por medio. Estas vulnerabilidades parchadas en febrero habían sido detectadas antes del lanzamiento de Vista. Incluso si alguna vulnerabilidad hubiera sido identificada en Vista, no habría sido posible lanzar su parche en febrero. Por ende, teníamos que esperar hasta marzo para tener un cuadro realista.
El 11 de marzo trajo consigo algunas noticias sorprendentes. Microsoft anunciaba que no lanzaría ningún parche durante ese mes. Esa sería la primera vez en varios años que Microsoft no entregaba ningún parche, y podría considerarse como una prueba de que todos los problemas en todas las versiones de Windows finalmente habían sido resueltos. Sin embargo, la explicación que seguía al anunció reveló que las cosas estaban lejos de ser color rosa. Microsoft estaba ocupada probando los parches que habían sido lanzados el anterior mes. El gigante del software anunciaba que ya había descubierto fallas y que seguía invirtiendo esfuerzos para proteger a sus clientes. Empero, continuaba la declaración, la creación de parches que resolviesen por completo los problemas de seguridad era un largo proceso que consistía de varias etapas. Estas palabras tenían un claro significado: existen vulnerabilidades conocidas y tomará un tiempo repararlas. Al mismo tiempo, eEye Digital Security anunciaba que se habían detectado cinco vulnerabilidades sin parches en Windows.
La situación se tornó preocupante, y tres semanas después se desataría la tormenta.
El 29 de marzo las compañías antivirus notaron un extraño programa en el flujo arrollador de virus ya detectados. Se detectaron archivos con formato ANI (archivos con cursor animado) en varias ciudades de China. Cuando un usuario visualizaba estos sitios, una serie de programas troyanos, principalmente programas troyanos de descarga, se instalaban en su ordenador.
Asimismo, circulaban mensajes electrónicos conteniendo archivos ANI sospechosos. Un análisis reveló que estaban conectados a una nueva vulnerabilidad en archivos de procesamiento gráfico, presentes en Windows Vista.
Se combatió esta vulnerabilidad durante casi dos meses. La lucha concluyó de la peor manera posible pues, no estando disponible ningún parche, los hackers chinos se valieron de esta falla para diseminar virus.
Más preocupante aún era el hecho de que hace dos años ya se habían presentado situaciones relacionadas con el procesamiento de archivos tipo ANI. Ya en enero de 2005, se detectaron cientos de sitios conteniendo Exploit.Win32.IMG-ANI (esta clasificación corresponde a Kaspersky Lab). MS05-002 contenía un parche para esta grieta. Sin embargo, con el transcurso del tiempo resultó evidente que dicho parche no había sido lo suficientemente probado. Por si esto no fuese suficiente, todas las afirmaciones de que Vista había sido rediseñado por completo, de que todos los códigos habían sido repetidamente comprobados, y de que tales errores ya no se repetirían fueron echados por tierra con la aparición de estas pequeñas vulnerabilidades en los archivos del cursor.
Microsoft no tenía otra opción que publicar la información sobre la nueva vulnerabilidad denominada y brindar una lista de los sistemas operativos y aplicaciones afectados. Mientras tanto, las compañías antivirus no cesaban de identificar sitios infectados y programas troyanos.
Websense detectó más de 500 sitios infectados capaces de infectar a usuarios desprevenidos en menos de una semana. Gran parte de los incidentes ocasionaron que el ordenador cautivo se infectara con varias versiones de troyanos espía diseñados para robar datos de usuarios de cuentas de juegos en línea (World of Warcraftm Lineage).
Parecía que este problema terminaría en una pandemia. eEye Digital Security lanzó un parche no oficial para la referida vulnerabilidad. Esto recordaba otros casos en los cuales Microsoft se negó a lanzar un parche fuera de fecha: sucedió así en diciembre de 2005 con una vulnerabilidad en el procesamiento de archivos WMF. Pasaron unas tres semanas entre la detección del problema y la solución provista. Por otra parte, en septiembre de 2006, Microsoft no necesitó más de 10 días para publicar MS06-055 para parchar una peligrosa grieta.
En esta ocasión Microsoft obró con premura, y el 3 de abril difundió MS07-017, un parche no programado. Esta vulnerabilidad fue descrita como “las vulnerabilidades en GDI pueden permitir la ejecución remota de códigos”, y era impresionante el número de versiones de sistemas operativos afectados:
- Microsoft Windows 2000 Service Pack 4;
- Microsoft Windows XP Service Pack 2;
- Microsoft Windows XP Professional x64 Edition and Microsoft Windows XP Professional x64 Edition Service Pack 2;
- Microsoft Windows Server 2003, Microsoft Windows Server 2003 Service Pack 1, and Microsoft Windows Server 2003 Service Pack 2;
- Microsoft Windows Server 2003 for Itanium-based Systems, Microsoft Windows Server 2003 with SP1 for Itanium-based Systems, and Microsoft Windows Server 2003 with SP2 for Itanium-based Systems;
- Microsoft Windows Server 2003 x64 Edition and Microsoft Windows Server 2003 x64 Edition Service Pack 2;
- Windows Vista;
- Windows Vista x64 Edition.
Tres de estas vulnerabilidades se encontraban en Vista: EMF Elevation of Privilege Vulnerability, Windows Animated Cursor Remote Code Execution Vulnerability, GDI Incorrect Parameter Local Elevation of Privilege Vulnerability. ?Dos de ellas habían sido identificadas ya en 2006 pero sólo se las pudo corregir con el lanzamiento de este parche!
- GDI Local Elevation of Privilege Vulnerability (CVE-2006-5758);
- WMF Denial of Service Vulnerability (CVE-2007-1211);
- EMF Elevation of Privilege Vulnerability (CVE-2007-1212);
- GDI Invalid Window Size Elevation of Privilege Vulnerability (CVE-2006-5586);
- Windows Animated Cursor Remote Code Execution Vulnerability (CVE-2007-0038);
- GDI Incorrect Parameter Local Elevation of Privilege Vulnerability (CVE-2007-1215);
- Font Rasterizer Vulnerability (CVE-2007-1213).
Microsoft explicó, hasta cierto punto, cómo la compañía logró desarrollar y lanzar un parche que reparara tantas vulnerabilidades en Microsoft Security Response Center Blog:
“Estoy seguro que muchos se estarán preguntando como logramos lanzar una actualización para este caso tan rápidamente. Mencioné el viernes que este caso nos fue revelado a fines de diciembre de 2006 y desde entonces hemos estado trabajando en nuestra investigación y en una actualización de seguridad. El lanzamiento de dicha actualización había sido previamente programado como parte de la publicación de abril, el 10 de abril de 2007. Debido al creciente riesgo que estos últimos ataques implican para los clientes, hemos logrado acelerar nuestras pruebas para asegurar que la actualización esté lista para su difusión antes del 10 de abril”
Es decir que Microsoft había estado al tanto de este problema desde diciembre del año pasado y había transcurrido todo ese periodo realizando pruebas, habiendo decidido no lanzar el parche como parte de la entrega de marzo sino esperar hasta abril, aunque el parche en realidad fue lanzado antes de la fecha programada. La vulnerabilidad ya había sido conocida tanto por Microsoft como por los piratas cibernéticos por más de tres meses… Sólo nos queda adivinar la cantidad de ataques de hackers que sucedieron en ese lapso de tiempo.
Este caso mostró claramente que Windows Vista no se diferencia de versiones previas de Windows en lo que se refiere a vulnerabilidades. También reveló que todas las innovaciones de Microsoft, tanto en términos de seguridad del programa como en términos de códigos sin errores no correspondían a las expectativas que habían generado. Y, finalmente, mostró que las fallas de “día cero” que son vulneradas por elaboradores de virus antes del lanzamiento de un parche oficial no dejan de ser un serio problema.
Conclusión
Los sucesos del primer trimestre de 2007 confirmaron nuestros peores miedos. Los elaboradores de virus siguen en su afán de organizar múltiples epidemias de corta duración lanzando numerosas variaciones de un único programa malicioso en Internet durante un reducido lapso de tiempo. Naturalmente, esto les complica la vida a las compañías antivirus. Vista se convirtió en blanco de los hackers quienes no sólo buscaban vulnerabilidades sino además formas de evadir algunas de las medidas de seguridad tales como UAC, Patch Guard, y protección contra desbordamientos de la memoria intermedia.
El segundo trimestre del año sin duda confirmará estas tendencias. También dará claras indicaciones sobre cuán seguros son en realidad los modernos sistemas operativos, y qué nuevos métodos están siendo utilizados por los piratas informáticos para llevar a cabo sus ataques.
Informe trimestral sobre las amenazas informáticas