Código de ataque de Windows, pero no se usa

Ha pasado una semana desde que los piratas informáticos lanzaron un software que podría usarse para atacar una falla en Windows Vista y Server 2008, pero Microsoft y las compañías de seguridad dicen que los delincuentes no han hecho demasiado con el ataque.

A última hora del lunes, Microsoft dijo que no había visto ningún ataque que usara la vulnerabilidad, un análisis que fue respaldado por compañías de seguridad como SecureWorks, Symantec y la unidad iDefense de Verisign.

Mientras los criminales saltaban en un error similar hace un año, usándolo en general ataques que finalmente obligaron a Microsoft a acelerar un parche de seguridad antes de su conjunto mensual de actualizaciones de seguridad, eso no ha sucedido con este último error, que se basa en el software SMB v2 utilizado por Vista y Server 2008 para hacer file-and-printer compartiendo.

[Más información: cómo t o eliminar el malware de su PC con Windows]

El investigador de SecureWorks Bow Sineath dijo el martes que hay varias razones por las cuales este último ataque no ha sido recogido. Tal vez la razón principal es que el código Metasploit no funciona tan confiablemente como el ataque MS08-067 del año pasado, y a menudo hace que la computadora se bloquee simplemente en lugar de ejecutar el software del hacker.

SMB v2 generalmente se bloquea en el firewall, y no incluye Windows XP, lo que significa que el ataque Metasploit no funcionará en la mayoría de las PC. Vista, el único cliente de Windows que es vulnerable al ataque, se utiliza en aproximadamente el 19 por ciento de las computadoras que navegan por Internet, según la firma de análisis web Net Applications. Windows XP funciona en el 72 por ciento de las PC.

Debido a todos estos factores, la falla SMB v2 simplemente no es "tan popular para un objetivo", dijo Sineath.

La semana pasada, Dave Aitel, CEO de seguridad el vendedor de herramientas Immunity predijo que Microsoft no necesitaría parchar el error antes de su fecha de parche de seguridad del 13 de octubre.

El ataque Metasploit hace ciertas suposiciones sobre la memoria de la computadora que le permiten funcionar en ciertas configuraciones de hardware, pero en En muchas situaciones, simplemente no funciona, dijo Aitel.

"Le pedí al equipo de Immunity que eche un vistazo al nuevo exploit para evaluar si Microsoft corregirá el error de SMB v2 más temprano, y nuestra evaluación inicial es 'No, no lo harán '", escribió en una publicación de la lista de discusión el martes pasado. "Trabajar alrededor de este tema en el exploit público actual probablemente sea de dos semanas de trabajo. En ese punto, nos acercamos a Microsoft el martes y la necesidad de un parche fuera de banda es discutible".

El equipo de Metasploit todavía está trabajando en su ataque, sin embargo. El domingo, Metasploit publicó detalles de una nueva forma de explotar el error y dijo que estaba trabajando en un módulo que aprovecha la técnica del llamado trampolín.

Si el método del trampolín funciona y hace que el ataque Metasploit sea más confiable, los criminales es probable que comiencen a usarlo, dijo SecureWorks.