Selecciona Edición
Conéctate
Selecciona Edición
Tamaño letra

Programas espía aprovechan un grave fallo de Internet Explorer para infectar ordenadores

Microsoft recomienda desactivar el componente problemático del navegador mientras prepara una solución, que publicará el 10 de octubre

Microsoft ha confirmado esta semana que su navegador, Internet Explorer, sufre un problema de seguridad que permite crear páginas webs que, al ser visitadas, instalen en el ordenador cualquier tipo de programa. Esto está siendo aprovechado para hacer llegar virus al PC de muchos internautas, pero por ahora no hay parche que cierre el 'agujero', sólo soluciones provisionales. En principio la amenaza estaba solo en páginas pornográficas, pero ahora puede encontrarse en muchas partes, pudiendo llegar incluso a los sistemas de anuncios.

El gigante del software lanzó el pasado martes una alerta sobre una vulnerabilidad que afecta a Internet Explorer que puede permitir que una web creada con malas intenciones ejecute cualquier tipo de programa en el ordenador de la persona que la visita. Esto significa que en cuanto el navegador accede a la página problemática, la víctima queda a merced de lo que el atacante haya decidido hacer con él.

En un principio las compañías de seguridad que hablan de este problema, identificado como vulnerabilidad de los documentos VML, detectaron webs pornográficas donde se aprovechaba el fallo de IE para introducir en el ordenador de sus víctimas virus o programas que muestran publicidad no solicitada, o software espía que recopila información sensible, como las contraseñas de acceso a servicios online.

Emilio Castellote, jefe de producto en la compañía de seguridad Panda Software, explica que "VML es un proceso que se utiliza para mostrar información gráfica cuando se navega por la Red" y que el problema detectado en este componente afecta a los usurarios que tengan la versión seis de Internet Explorer instalada en cualquiera de las versiones existentes del sistema operativo Windows.

Todo tipo de páginas pueden aprovechar el agujero

Castellote señala además que aunque en sus orígenes la vulnerabilidad sólo fue explotada desde páginas pornográficas, puede extenderse a sitios de todo tipo. De hecho, muchos expertos admiten que el tipo de webs que distribuyen malware a través de esta vulnerabilidad se ha diversificado y masificado, y muchas compañías del sector, como Secunia o Symantec, califican el 'agujero' como altamente peligroso. Sergio de los Santos, consultor de la compañía de seguridad Hispasec, dice que la alerta está justificada, "porque es un fallo muy sencillo de explotar" y "hay código que permite aprovechar la vulnerabilidad. Al principio la distribución empezó sólo en en páginas pornográficas, pero ahora está por todas partes".

Visitar únicamente páginas de confianza no parece una solución para librarse de esta y otras amenazas, pues según explica De los Santos los atacantes han encontrado la manera de colocar su código malintencionado en anuncios publicados por servicios publicitarios de los que se nutren muchas páginas. Y cita un caso reciente en el que se descubrió un ataque que aprovechaba la publicidad de las páginas de MySpace y Dilbert para instalar troyanos en los ordenadores de quienes las visitaban.

El número de páginas que infectan ordenadores gracias a esta vulnerabilidad "progresa geométricamente", según el especialista de Hispasec, pues algunos de los infectados se convierten en nuevos centros distribuidores de virus al integrarse en las redes de ordenadores esclavos o bootnes al servicio del atacante.

Soluciones temporales hasta octubre

La política de actualizaciones que sigue Microsoft establece que el segundo martes de cada mes se ofrezcan todas juntas, y en casos excepcionales se publican fuera de esta fecha los archivos que corrigen un error en su software que ponga en riesgo la seguridad de sus clientes. La última vez que esto sucedió fue en enero pasado, cuando hackers de medio mundo explotaron de forma masiva una vulnerabilidad que afectaba a los archivos WMF. Ante la gravedad del problema, un consultor privado creo un parche para evitar infecciones que empezó a ser descargado por muchas personas, y la reacción de Microsoft fue publicar una actualización propia.

Por ahora, hay que conformarse con las medidas que Microsoft recomienda en la misma nota en la que admite la vulnerabilidad. La primera de ellas supone la desactivación del componente de Internet Explorer problemático o modificar el acceso a él para que se realice de una forma más restrictiva. Otra de las soluciones consiste en modificar la configuración Internet Explorer 6 para Windows XP. La cuarta, por último, pide a los usuarios del gestor de correo Outlook que lean sus mensajes en texto plano, esto es, sin imágenes, fuentes especiales, animaciones etc. Esto es así porque Outlook los mensajes complejos, elaborados como páginas de Internet, con el motor de Internet Explorer, con lo que estaría expuesto a los mismos riesgos.

De lo Santos recomienda también, de forma general y no sólo para esta vulnerabilidad, utilizar Internet Explorer como un usuario que no sea administrador del sistema, pues de esta forma se restringe la capacidad de instalar programas y hacer modificaciones en el sistema operativo, que puede ser utilizada en contra del usuario por los creadores de virus.

Sobre los antivirus, el consultor de Hispasec, señala que son importantísimos hay que tenerlos actualizados, pero se trata de "una medida reactiva que no se anticipa a las amenazas y el malware de este tipo es muy cambiante, se adapta rápidamente para no ser detectado. Para la vulnerabilidad que afecta a los ficheros VML, por ejemplo, se han hallado muchas formas diferentes de infección que distribuyen más de 20 tipos de troyanos diferentes.

Desde Panda Software aseguran en todo caso que el problema ha sido detectado esta semana y que "ya ha sido agregado en todas nuestras bibliotecas de malware", por lo que todos sus clientes estarían protegidos.

Un millón de ordenadores infectados por un anuncio

El pasado 19 de julio The Washington Post informaba sobre la infección masiva provocada por un anuncio publicado en MySpace por un gestora de publicidad en medios. La imagen publicitaria, conocida en el sector por el nombre de banner, aprovechaba una vulnerabilidad de Internet Explorer para instalar un 'troyano' en el ordenador de quienes visitaban las páginas de MySpace donde aparecía.

El programa no deseado instalaba software publicitario en el ordenador de sus víctimas, y realizaba un seguimiento de su navegación. Cuando se instalaba, contactaba con una página escrita en ruso pero alojada en Turquía, que llevaba la cuenta de cuantas infecciones se habían llevado a cabo, presumiblemente porque así el atacante podría cobrar luego a los anunciantes que utilizaban su software no deseado para aparecer sin permiso en los ordenadores infectados. En el momento en que fue descubierto la cuenta iba por 1.07 millones de infecciones.

Poco después de ser descubierto, Hemanshu Nigan, jefe de seguridad de la comunidad online MySpace calificó el ataque de "acto criminal", y reveló que además de en su sitio los anuncios que distribuían los programas espía y publicitarios habían aparecido en "miles de páginas" de Internet.

Más información