Microsoft se apresura a reparar IE Kill-bit Bypass Attack

Microsoft ha sido forzado a emitir parches de emergencia para su sistema operativo Windows después de que los investigadores descubrieron una forma de eludir un mecanismo de seguridad crítico en el navegador Internet Explorer.

Durante una charla del miércoles en la conferencia Black Hat de esta semana en Las Vegas, los investigadores Mark Dowd, Ryan Smith y David Dewey mostrará una forma de eludir el mecanismo 'kill-bit' utilizado para desactivar los controles ActiveX con errores. Una demostración de video publicada por Smith muestra cómo los investigadores pudieron pasar por alto el mecanismo, que busca controles ActiveX que no pueden ejecutarse en Windows. Luego pudieron explotar un control ActiveX defectuoso para ejecutar un programa no autorizado en la computadora de la víctima.

Aunque los investigadores no han revelado los detalles técnicos detrás de su trabajo, este error podría ser un gran problema, dando a los hackers un camino de explotar los problemas de ActiveX que anteriormente se pensaba que habían sido mitigados a través de kill-bits.

[Lectura adicional: cómo eliminar el malware de tu PC con Windows]

"Es enorme porque puedes ejecutar controles en la caja que no "No se pretende que se ejecute", dijo Eric Schultze, director de tecnología de Shavlik Technologies. "Así que al visitar un sitio web malvado [los delincuentes] pueden hacer lo que quieran aunque yo haya aplicado el parche".

Microsoft suele emitir estas instrucciones de matar como una forma rápida de proteger Internet Explorer de ataques que explotan errores Software ActiveX. El Registro de Windows asigna números únicos a los controles ActiveX, denominados GUID (identificadores únicos a nivel mundial). El mecanismo kill-bit listas negras de ciertos GUID en el registro de Windows para que los componentes no puedan ejecutarse.

Según fuentes familiarizadas con el asunto, Microsoft está dando el paso inusual de lanzar un parche de emergencia para el error el martes. Por lo general, Microsoft solo lanza estos parches "fuera del ciclo" cuando los hackers están explotando la falla en los ataques del mundo real. Pero en este caso los detalles del error siguen siendo secretos y Microsoft dijo que el ataque no se usa en los ataques. "Esto realmente debe haber asustado a Microsoft", dijo Schultze, y especificó por qué Microsoft podría haber emitido el Parches de ciclo.

También puede reflejar un incómodo problema de relaciones públicas para Microsoft, que ha estado trabajando más estrechamente con los investigadores de seguridad en los últimos años. Si Microsoft hubiera pedido a los investigadores que postergaran su presentación hasta la próxima serie de parches programados regularmente para la compañía, que vence el 11 de agosto, la compañía podría haber enfrentado reacciones violentas por haber suprimido la investigación de Black Hat.

Microsoft mismo ha proporcionado pocos detalles sobre los parches de emergencia, que se publicarán el martes a las 10:00 am hora de la costa oeste.

El viernes pasado, la compañía dijo que planeaba lanzar una solución crítica para Internet Explorer, así como un Visual Studio relacionado. Parche calificado como "moderado".

Sin embargo, el problema que les permite a los investigadores eludir el mecanismo del bit de muerte puede residir en un componente ampliamente utilizado de Windows llamado Active Template Library (ATL). Según el investigador de seguridad Halvar Flake, esta falla también es culpable de un error de ActiveX que Microsoft identificó a principios de este mes. Microsoft emitió un parche para matar el problema el 14 de julio, pero después de investigar el error, Flake determinó que el parche no solucionó la vulnerabilidad subyacente.

Uno de los investigadores que presentó a Black Hat, Ryan Smith, informó Este fallo se debió a Microsoft hace más de un año y este defecto se debatirá durante la conversación sobre Black Hat, según confirmaron fuentes el lunes. Un portavoz de Microsoft se negó a decir cuántos controles ActiveX están asegurados a través del mecanismo de matar que explica que la empresa "no tiene información adicional para compartir sobre este problema" hasta que se publiquen los parches. Pero Schutze dijo que es suficiente que el parche del martes se aplique lo antes posible. "Si no aplicas esto, es como si hubieras desinstalado 30 parches anteriores", dijo.

Smith no quiso hacer ningún comentario sobre esta historia y dijo que no le permitieron discutir el tema antes de su charla sobre Black Hat. Los otros dos investigadores involucrados en la presentación trabajan para IBM. Y aunque IBM se negó a ponerlos a disposición para hacer comentarios el lunes, la portavoz de la compañía, Jennifer Knecht, confirmó que la charla de Black Hat del miércoles está relacionada con los parches de Microsoft de martes.