Los cibercriminales han comenzado a explotar una vulnerabilidad que se descubrió la semana pasada, y Microsoft todavía no ha lanzado un parche para contrarrestar los ataques.
La vulnerabilidad se encuentra en el sitio del Centro de Ayuda de Windows. Los cibercriminales están lanzando ataques “drive-by” que descargan exploits para explotar la vulnerabilidad en los ordenadores de los usuarios que visitan sitios maliciosos. Esto les permite tomar el control del equipo vulnerable.
La falla sólo afecta a los usuarios de Windows XP. “Queremos reiterar que los usuarios de Windows 2000, Windows Vista, Windows 7, Windows Server 2008 y Windows Server 2008 R2 no corren peligro. Los usuarios de Windows Server 2003 tampoco corren riesgo según los ejemplares que hemos analizado”, dijo Jerry Bryant, portavoz de Microsoft.
Un ingeniero en seguridad que trabaja en Google, Tavis Ormandy, descubrió la vulnerabilidad y alertó a Microsoft sobre el problema, pero recibió duras críticas porque sólo esperó 5 días antes de publicar los detalles de la vulnerabilidad en Internet, cosa que algunos, como Graham Cluley de Sophos, consideraron “totalmente irresponsable”.
Según los expertos en seguridad, Ormandy debió haber esperado más tiempo antes de revelar el problema para que Microsoft tuviera la oportunidad de desarrollar un parche antes de que la vulnerabilidad se hiciera pública, así se protege a los usuarios en lugar de apresurar a los cibercriminales a explotar los ordenadores desprotegidos.
Ormandy asegura que publicó los datos de la vulnerabilidad para presionar a Microsoft para que desarrolle el parche lo más pronto posible. “Me estoy cansando de todos los mensajes reprochándome el tema de los ‘5 días’. Microsoft ocupó esos cinco días en negociar un parche que lanzaría dentro de 60 días”, dijo Ormandy.
“Anticipamos que (la vulnerabilidad) se seguirá explotando porque se publicaron todos los detalles”, dijo Bryant.
Fuentes:
Unpatched Windows XP-related hole exploited in attacks Cnet News
Critical and unpatched, Windows XP bug is under attack The Register
Hackers exploit Windows XP zero-day, Microsoft confirms Computerworld
Piratas explotan una vulnerabilidad sin parches de Windows