El pasado día 14, Microsoft publicaba un aviso de una vulnerabilidad en Internet Explorer. Nada extraordinario, si no fuera por la repercusión y consecuencias que esta vulnerabilidad ha tenido en el mundo informático. Como muestra de esas consecuencias, encontramos el robo de información a una empresa como Google. Y es sólo una muestra. Las consecuencias reales podrían ser mayores.
Este bug, que afecta a todas las versiones de Internet Explorer, permite la ejecución de código malicioso al visitar las páginas que contengan el exploit. Aquí, analizaremos y explicaremos cómo funciona el exploit y cuáles han sido los efectos que ha provocado.
¿Cómo funciona el exploit? ¿Cuáles son sus efectos?
La vulnerabilidad de Internet Explorer no es muy compleja. Es una vulnerabilidad causada por una referencia inválida a un puntero, es decir, cuando el puntero (variable que apunta a una dirección de memoria) señala a un lugar incorrecto, ya sea porque ésta no pertenece al programa o porque había sido liberado previamente.
Esto último es lo que provoca la vulnerabilidad en Internet Explorer. Al borrar un objeto, y bajo ciertas condiciones, se puede acceder al puntero a ese objeto. Con un código preparado (exploit) Internet Explorer puede ejecutar código remoto al intentar acceder al objeto borrado mediante ese puntero. El código, en el caso concreto del exploit usado en el ataque a Google, descarga un programa encargado de abrir una puerta trasera en el ordenador por la que el atacante puede obtener acceso a ese ordenador.
Sus efectos dependen de lo que haga el programa descargado. Esto es lo que hace que la vulnerabilidad sea grave: la posibilidad de ejecución de cualquier código malicioso en el ordenador de la víctima. Así, el exploit puede hacer cualquier cosa, desde simplemente cerrarte tu navegador, a tomar el control total de tu equipo, pasando por instalar spyware o adware.
¿Quiénes han sufrido, o pueden sufrir, esta vulnerabilidad?
La principal empresa que ha sido atacada por esta vulnerabilidad ha sido Google, como parte de un ciberataque muy complejo destinado al robo de información a grandes corporaciones, y vinculado a China gracias a las investigaciones de Google.
En principio, el código del exploit era desconocido. Pero, según las investigaciones de McAfee, ha sido publicado en Internet, dando posibilidad a ataques a gran escala contra los usuarios que usen las versiones afectadas de Internet Explorer, que podemos ver en la siguiente tabla:
¿Cuál ha sido las reacciones a la vulnerabilidad?
Varios organismos y autoridades han respondido a la aparición de esta vulnerabilidad. McAfee, colaborador de Google en las investigaciones, ha puesto en marcha la “Operación Aurora” para alertar y prevenir a los usuarios sobre esta vulnerabilidad. Mientras tanto, Alemania y Francia desaconsejan el uso de Internet Explorer hasta que se resuelva la vulnerabilidad.
Por su parte, Microsoft ha publicado el aviso de seguridad y ya ha liberado el parche para todas las versiones de Internet Explorer en los sistemas operativos soportados. Además, ha publicado un webcast respondiendo a las preguntas de los clientes.
Además, la aparición de este fallo ha disparado la descarga de navegadores alternativos, más todavía en países como Alemania donde, como podemos ver en el gráfico, las descargas de Firefox por usuarios de IE han sido 300.000 más de las que cabría esperar.
¿Cómo me puedo proteger de la vulnerabilidad?
La protección es fácil: Visitar sólo sitios de confianza, mantener el software de seguridad (firewall y antivirus) actualizados, configurar el nivel de seguridad de Internet Explorer en alto y activar el DEP donde sea posible. También es recomendable usar navegadores alternativos, como Firefox, Opera, Chrome o Safari; o actualizar a la última versión de Internet Explorer para minimizar los daños.
¿Qué conclusiones podemos sacar de todo esto?
La más clara, es la que muchas personas en el mundo informático han repetido hasta la saciedad: la inseguridad de Internet Explorer 6. Probablemente este fallo se hubiera quedado en una anécdota si no fuera por la gran cantidad de usuarios que todavía siguen usando la versión 6 de este navegador, la menos protegida ante esta vulnerabilidad*.
También podemos ver cómo Microsoft sólo publica parches cuando la vulnerabilidad se ha hecho pública, ya que, según su blog, tenían conocimiento de ella desde septiembre, y no ha sido ahora, tras el ataque a Google y la publicación del exploit, cuando han liberado el parche. Esto demuestra una falta de atención y de compromiso con los usuarios entre los desarrolladores de Microsoft.
En relación a esto, vemos la importancia de McAfee colaborando con Microsoft en el descubrimiento y solución del fallo, a pesar de haber creado la “Operación Aurora” con fines más publicitarios que informativos, algo inadecuado desde mi punto de vista.
Y por último, en todo este lío hemos visto cómo algo tan relativamente simple como una vulnerabilidad en un navegador ha provocado dos hechos muy importantes. Uno, la nueva aproximación de Google a China tras los ataques, que probablemente les acabe llevando a retirarse de ese país. Y dos, la recomendación de varios países de no usar Internet Explorer, que le proporciona un duro golpe al navegador, al menos en su versión 6, y favorece las alternativas como Opera, Firefox o Chrome.
Más Información | Microsoft Technet, McAfee Security Insights Blog y MSRC
Imagen | McAfee y Mozilla
Ver 30 comentarios
30 comentarios
Adrian Grayson
#1 La entrada va sobre una vulnerabilidad en IE y tu te pones a hablar de que Google tiene información nuestra, no sabías como trollear y has dicho "pues allá voy con todo" ¿verdad?
Sí, Chrome es Firefox con otro logo, grandes conocimientos sobre el programa los tuyos.
Gonzalo
#1 Realmente me dejaste sin palabras. No tengo palabras para describir tu comentario (en realidad si las tengo, pero serían censuradas y ademas no quiero caer tan bajo).
Los huecos en IE siempre existieron y si alguien no entro en tu computadora es porque tuviste suerte. Deben existir miles de xploits para el IE en todas sus versiones.
No te podes comparar vos, un simple usuario, con una empresa como Google. Si alguien se mete en Google es para robar información valiosa, en cambio si alguien se mete en tu computadora es para robar ¿que? ¿fotos de tus vacaciones?. Más vale que una empresa va a tener muchas mas posibilidades de ser hackeada porque sería un trofeo más importante (o un beneficio económico) para el hacker. Pero eso no significa que los huecos por los que entro el hacker a Google no estén en tu computadora también!!
Igual, todo esto es noticia vieja. El IE siempre fue inseguro y a nadie le importo. La mayoría de la gente es capaz de convivir con spyware y ni se dan cuenta. De un día para el otro la computadora se les arrastra y no les interesa porque solo la usan para ver mails. En cambio la gente que realmente usa la computadora, sabe que la primer medida para tener una PC limpia de virus/spyware es no usar el IE (entre otras tantas cosas).
Saludos.
Guillermo Julian
Aclaremos un poco todo esto.
#27, #50, en ningún momento he dicho que la culpa sea sólo de MS. Simplemente he dicho que los atacantes entraron gracias a un bug en IE. No he entrado a calificar por qué se usa IE en Google, o por qué los sistemas de Google no bloquearon el troyano.
#35, sí, has soltado una gran chorrada. Primero, porque Google no ha dicho nada de no usar IE. Y segundo, porque Google no ha sufrido ningún ataque DDoS.
#36, mírate la respuesta que le he dado a #27. Y, aunque todos los navegadores tienen bugs, ninguno tarda 5 meses (Septiembre - Enero) en resolver uno tan grave.
#51, ves fantasmas donde no los hay:
1) ¿Culpabilidad inequívoca? Los atacantes instalaron un troyano gracias a un bug en IE. Los atacantes pudieron acceder al sistema mediante el troyano gracias a que ningún firewall/sistema de seguridad les paró. Por lo tanto, la responsabilidad del robo de información es tanto de Google por no haber podido parar la entrada, como de Microsoft por no haber resuelto la vulnerabilidad, como del empleado que usaba IE 6 y se le coló el exploit.
2) Lo mismo que al apartado 1).
3) Corrijo. Usar Internet Explorer 6, ya que es inseguro y hay versiones más actualizadas y más seguras. Porque de Windows no he dicho nada.
Guillermo Julian
#56, no tienes la más menor idea de lo que estás hablando. El troyano se lo instalaron gracias al bug de IE. Y el bug afecta a todas las versiones de IE, no solo a la 6.
#57, la vulnerabilidad era conocida desde septiembre del 2009. Esto lo ha reconocido Microsoft. Además, la vulnerabilidad ha sido descubierta en los ataques por McAfee.
Con esto no defiendo a Google, simplemente intento refutar teorías conspiranoicas de cualquier tipo.
lesan
No hagais caso al Troll, que se ha registrado ahora para trolear.
lesan
10# Si Windows 7 es desacertado, apaga y vamonos.
phyramide
Entonces utilizan servidores Windows?
Ese es tu argumento?
Y de casualidad sabes si acostumbran ir a navegar desde el Internet Explorer del Servidor?
Por que en mi empresa no lo hacemos... pero si Google lo hace, ahora mismo voy al servidor para navegar
O que acaso el exploit se puede utilizar aún sin correr el IE? Entonces no es muy buena recomendación esa de cambiarnos de navegador, hay que cambiarnos de Sistema Operativo, y si se puede, vamos a crear una internet alterna en donde reinen solamente los buenos. Que para acceder tengamos que tramitar VISAS.... ohh esperen, eso tampoco funcionaría, ya ven lo que ha pasado con el país más seguro del planteta.
sandesign
Muy interesante el análisis, pero quedan aún muchas dudas y vacíos en la información sobre este incidente. Les dejo un vínculo a un artículo del escritor experto en Windows Ed Bott, donde escribió un artículo muy completo e imparcial en Zdnet sobre la vulnerabilidad:
http://blogs.zdnet.com/Bott/?p=1663&tag=col1;post-1663
Básicamente toca varios puntos muy interesantes, y me he permitido traducir algunos de ellos del artículo original:
1. ¿Por qué estaba Google usando un navegador obsoleto en uno de sus servidores? ¿y encima usandolo bajo Windows XP? El ataque fué exitoso porque alguien estaba usando IE6 para navegar de forma general mientras estaba conectado directamente a la red de Google. WTF?
2. ¿Si se hubiera utilizado firefox, Chrome u Opera, este ataque no hubiera funcionado? No necesariamente. Las victimas de esta ola de ataques estaban muy bien seleccionadas, presumiblemente por criminales o espías que sabían exactamente que estaban haciendo. En un ataque así las victimas picaron porque ellos tenían acceso a información importante y podían accesar a partes sensibles de la red de la compañía. Es posbile que los atacantes tuvieran como objetivo a las esas víctimas que usaban IE6. Sin embargo, los atacantes también pudieron haber usado un PDF malicioso para hacer su trabajo sucio, así como vulnerabilidades en otro software.
3. Firefox y Chrome también han tenido su ola de vulnerabilidades. Firefox en 2009 tuvo 34 Críticas: http://secunia.com/advisories/35798/ mientras que Chrome reportaba en Octubre pasado un bug que permitía ejecución de codigo arbitrario en el sandbox de Chrome 3.0: http://secunia.com/advisories/36913/
4. ¿Estamos más seguros en un Mac? de nuevo, no necesariamente. En un ataque como este, donde los atacantes tenían identificados a objetivos específicos y escribieron un código específico, pudo haber sido posible en Diciembre de 2009 comprometer un sistema usando OS X 10.6 con todos los parches de seguridad. La actualización de seguridad 2010-001 que lanzó Apple la semana pasada, contenía arreglos a varias vulnerabilidades que permitían ejecución arbitraria de código. Un atacante suficientemente motivado pudo haber aprovechado alguna de esas vulnerabilidades. Recordemos que en la competencia de PWN2OWN del 2009, le Mac fué el primero en ser comprometido en tan solo unos segundos, donde Charlie Miller sólo tuvo que hacer clic en un link usando Safari y listo. Más info aqui: http://support.apple.com/kb/HT4004
5. ¿Debemos dejar de seguir usando IE? Si la vulnerabilidad afecta a las versiones 7 y 8, ¿Significa entonces que todas las versiones del navegador son igualmente inseguras? ABSOLUTAMENTE NO!!! Muchos analistas no experimentados se confunden en los términos vulnerabilidad y ataque. Una vulnerabilidad es una sección de código que tiene un fallo que puede potencialmente llevar a un problema de seguridad. Pero volver una vulnerabilidad en un ataque exitoso es más dificil. Las características de seguridad en otras partes del sistema operativo pueden prevenir que el ataque funcione adecuadamente. En este caso el ataque funcionó porque se estaba corriendo IE bajo Windows XP, pero dos caracteristicas de seguridad que se incluyeron en versiones más recientes de IE y en Windows Vista y 7, pudieron haber hecho el ataque más dificil de realizar: ASLR y DEP. ASLR se introdujo en Vista y mueve datos en ubicaciones aleatorias en memoria. Un atacante en Windows XP puede predecir las dirección de localización de los datos, pero con ASLR el atacante debe adivinar la ubicación, teniendo una oportunidad en 256. DEP toma ventaja de una caracteristica de seguridad de las cpu modernas para marcar páginas en memoria con el bit NX (No ejecutar). Si una sobrecarda de buffer es capaz de forzar código en una página destinada a datos, el código no se ejecutará. Los analistas de seguridad han tratado de romper DEP por varios años, pero han tenido un exito limitado. Mientras tanto, ha evitado muchas clases de ataques.
6. ¿Entonces debo dejar de seguir usando IE? Esto ya es una decisión personal, y no debe dejar que nadie le meta miedo o exageración para obligarlo a cambiar. Hay muchas razones para usar navegadores alternativos como Firefox o Chrome, y el hecho de que Microsoft hubiera sabido del fallo hace más de 4 meses le juega en contra al IE.
Recordemos que IE es el más usado, y sobretodo la versión 6 en las empresas. Es lógico que el ataque se hubiera dirigido a él. Si los otros navegadores empiezan a tomar fuerza,no hay duda que ellos serán los proximos objetivos. Todo software tiene fallos, ninguno es perfecto.
alexft
1º) IE es un asco, una basura, un vertedero. 2º) El primer comentario de este post no hay por donde cogerlo. 3º) Lo de echar la culpa a Google es una risa.
Guillermo Julian
#13, las compañías antivirus poco pueden hacer por solucionar una vulnerabilidad de un programa externo, excepto mantener actualizados sus productos.
De hecho, lo que ha hecho McAfee es algo no muy corriente, ayudando a Microsoft.
Y lo de Google, por qué usan IE, es una buena pregunta :D
Guillermo Julian
@duwie, te agradezco tu llamada a la calma. En ocasiones, algunos comentarios llegan a ser exasperantes. Pido disculpas si me he pasado de borde.
Guillermo Julian
@pacharan, voy a intentar responderte a todo.
1), desde mi punto de vista, y no sólo debido a este ataque, Internet Explorer es menos seguro que otros navegadores porque, aunque todos tienen vulnerabilidades, no suelen tener un tiempo de resolución tan grande, debido a que tienen un sistema de informe de bugs, con lo cual las vulnerabilidades son descubiertas antes y por lo tanto resueltas antes. Pero es mi punto de vista, así que aceptaré gustosamente razones por las que IE es tan seguro como los demás.
2) A mí, desde luego, la "Operación Aurora" me parece, como dices, una "Operación Publicidad" con la excusa de proteger al usuario. Pero no hay que negar que McAfee ha sido quien ha descubierto la vulnerabilidad en IE, y quien ha estado colaborando con Microsoft (al menos es lo que dicen en su blog)
3) No es mi intención presentar a Google como la salvaguarda de los derechos y libertades, ni mucho menos. En el artículo simplemente me he limitado a decir que la vulnerabilidad por la que entraron fue el desencadenante, sin entrar en cuáles son las razones reales por las que Google ha hecho lo de China. Tampoco hago un análisis de por qué extraña razón los empleados de Google usan IE 6, ya que serían sólo especulaciones. Por cierto, me gustaría aclarar una cosa: el objetivo del ataque no fueron los servidores de Google, sino ciertos empleados a los que se le mandó un correo que redirigía a la página con el exploit.
En cuanto a los retales, yo he intentado aquí aunar toda la información, y todo excepto las conclusiones, procede de fuentes fiables. En cuanto a hacer inclinarnos a un lado o a otro, yo no lo veo tan claro. Los hechos son muy objetivos los perjudicados son tanto Google como Microsoft, uno por la penetración en los sistemas y otro por el fallo en el navegador.
No voy a negar que siento más afinidad por Google que por Microsoft, aunque normalmente trato de ser muy escéptico, y más en este artículo, donde he intentado ser lo más objetivo posible.
Por último, quiero agradecerte esta crítica constructiva, que me ayuda mucho a mejorar.
Guillermo Julian
#74, lo que pasa es que aquí ha habido mucho lío y desinformación. Lo que en realidad ha pasado es lo siguiente:
Los hackers mandaron un correo a ciertos empleados de Google con acceso a información relevante. Estos correos tenían, por lo visto, la apariencia de cualquier otro correo que recibirían en un día normal de trabajo. La diferencia es que contenían un enlace a una página con un exploit para IE 6. De esta forma entraron en los ordenadores de los empleados y así accedieron a la información que querían.
Neo
#1
Tu incultura me ha alegrado el día, en serio, gracias por animarme. Me hace mucha gracia que creas que tienes razón cuando parece que seas un típico usuario que usas el pc para charlar por el messenger u escuchar música a través de spotify (si es que sabes qué es eso...)y ya te crees que sabes de pc cuando en realidad no sabes nada. Me da mucha rabia la gente que dice que sabe de pc's y luego no sabe ir más allá del word, facebook y cuatro filtros con photoshop.
Ole, tendríamos que inaugurar una sección en genbeta que se llame: In-Cultura 2.0
Ricardo Delgado
#1
flamer+troll+"·$%&?!=omarneo...he visto muchismos trolls en este blog., y a muchos que caen en ese error, pero jamas habia visto tanta "·$%&?! junta...
Respecto a la nota, pues es una lástima para los de Microsoft, cada día demuestran que, al menos en lo que se refiere a sistemas operativos y aún más al navegador, son bastante desacertados...
Ricardo Delgado
#11
mi comentario no es sobre Windows 7, se bien que èste ha sido una notable mejoría en cuanto al resto, sin embargo, no por eso deja de tener sus "cosas", y no cambia el hecho de que a través del tiempo, los SO de MS no han sido muy buenos que digamos...además hice hincapié en lo del navegador, del cual creo que no podras objetasr que es malísimo.
PD: al momento de escribir esto, lo hice desde Windows 7 corriendo en máquina virtual, el SO base es Linux Mint 8.
nemilk
Lo que no entiendo es.... ¿en qué puñetas pensaban las empresas de antivirus? Quiero decir, ¿no hacen pruebas con exploradores? ¿no han previsto que pudiera ocurrir esto? ¿Es que en las oficinas de Google no usan antivirus?
Mal por IE, que se ha cabado su tumba de una manera absurda. Pero también mal por las empresas de antivirus, que no han corregido este fallo de seguridad.
Y digo yo... ¿qué puñetas hacía Google usando Internet Explorer en vez de Crhome? :-D
nemilk
Otras veces defiendo a Microsoft, pero en este caso no hay nada que defender. La han "cagado".
Chris
IE es un paso atrás para la humanidad. Y aún hay gente que lo usa porque viene por defecto en las versiones de Windows.
Porfavor si quieres contribuir a un futuro mejor, no uses IE.
Ricardo Delgado
#23...IDEM
...desgraciadamente en mi trabajo se sa el Internet Explorer 6, por lo de la intranet y demás, pero si por mi fuera,mandaria por un tubo todo lo relacionado con esa m***da...en mi ordenador personal no lo uso hace cuatro años, y no creo volver a usarlo jamas, preferiria netscape XD
Y Google definitivamente tiene mucho de culpa de ese "ataque"...tambien me parece muy raro que de alguna forma estuvieran vinculados con IE...¿para que carajo hicieron Chrome?
amj
En respuesta a los que dicen que porque GOOGLE usa IE , supongo que sera por que muchos de sus servidores atacados sean de antes de sacar Chrome, y actualizar una montaña de servidores a un nuevo navegador no es lo mismo que cambiartelo tu en tu casa y a tu vecino, en mi opinion!
lesan
32# O algún fanboy de MAC/Linux haciendo psicología inversa ;)
pacharan
#phyramide me temo que eres el unico que usa un poco el cerebro por aqui. Yo veo demasiada incongruencia en la informacion, y a nada que lo pienses un poco, te das cuenta que esta debe ser otra de las miles de noticias que tratan de aumentar el mito de la inseguridad de IE. ¿Que tiene fallos? Por supuesto. ¿Y que navegador no los tiene? Mejor dicho, el fallo no es de IE sino de los que tratan de aprovechar una brecha. Y si esta pagina sirve de muestra por su aversion declarada a IE, entonces el problema es la cantidad de ataques que tiene que soportar ese navegador. Yo no me canso de decirlo, ¿cual de todos los navegadores, Firefox, Opera, Safari, Chrome o el que sea, esta preparado para sufrir los ataques que sufre IE? ¿Cuanto durarian en pie si sufrieran tantos ataques? Los talibanes existen, y no todos estan en afganistan. Todas esas campañas en contra de IE, a quienes mas benefician es a la competencia, eso deberia ser evidente pero parece que no lo es tanto para todos, y resulta mas facil decir chorradas como si supieramos de los pormenores de un ataque, como si aqui en este foro, todos supieran al dedillo de que va esto, que al fin y al cabo, por si no os habeis enterado, esto es la guerra de los navegadores, y en la guerra como en el amor, todo vale. ¿que han atacado a Google? me lo creo. ¿Pero quien le ataco? ¿Y porque las noticias salen a la luz de forma que parezca que siempre la culpa es de Microsoft?
Yo de una empresa como Google, que en este año ha generado mas de ¡¡6.000.000.000!! ¡¡de beneficio neto!! perdonadme, pero no puedo creer ni en sus bondades para con la humanidad, ni en su inocencia en la gestion de esa guerra.
lesan
Por favor, que alguien banee al sujeto este. Vaya personajes que entran aquí a molestar.
viciuxs
#1 #40 Pobre nene debe estar entrando en la pubertad, amigo aste un favor y ve a la escuela tal vez algún día alguien te tome enserio.
Juanca
No se que odio mas, si a microsoft por ser tan desconsiderado y crear software tan inseguro (dijanme una sola aplicacion que aya creado microsoft que no tenga problemas de seguridad) o a las empresas de antivirus que se aprovechan de estas vulnerabilidades para hacer dinero a lo facil.
Es como que si te dieran el veneno, para obligarte a comprar el antidoto.
Por cierto para los que no saben, con que solo el malware tenga acceso a tus archivos temporales ya puede averiguar todo lo que has hecho en la red incluyendo saber tus correos electronicos, y son lo suficientemente buenos hasta tus contraseñas; no es responsabilidad alguna de google o de cualquier empresa que haga de servidor que tu pc tenga malware, por hay tiene mas culpa microsoft por crear software expuesto a ataques y tambien los usuarios por usarlo, asi como #1.
pacharan
#sandesign, gracias por molestarte en aportarnos ese comentario de Ed Bott. Pero como habras podido comprobar, salvo algunas excepciones, hay bastante radicalismo en los comentarios de genbeta. Empezando por el articulo en si, que lejos de ser un analisis serio e imparcial, esta destinado a fomentar;
1) La culpabilidad inequivoca de Microsoft e IE.
2) El victimismo de Google en todo esto.
3) El miedo y la creencia de que usar Windows e IE es lo peor que se puede hacer.
Resumiendo, que es un articulo hecho a medida de los fanboys de linux y de los radicalitos.
Creo que a estos es una perdida de tiempo explicarles el porque su actitud esta equivocada. A los otros, simplemente usen la caja cerebral, tomen las mejores protecciones, y sobretodo, disfruten navegando, que esta guerra es entre navegadores, y lo peor que puede pasar es que olvidemos que somos usuarios y que esta guerra no es nuestra.
nemilk
Algo huele raro, eso seguro. Es como si la web de Apple fuese hackeada por usar en el servidor IE. Es ridículo.
lordofthecoffee
Cambiémosle el nombre. A partir de ahora será el Internet Exploiter. Queda más bonito!
Ricardo Delgado
#41
no me considero idiota...solamente analizo las distintas opciones que ofrece el mundo del software...no se desde cuando es una idiotez probar un SO desde una maquina virtual