VSAntivirus cambió su nivel de alerta a Naranja. Ello se debe al aumento de reportes sobre la actividad del exploit que provoca un desbordamiento de búfer en el componente VGX.DLL, utilizado por el Internet Explorer, y que permite la ejecución remota de código.
Esta vulnerabilidad del tipo Zero-Day o Día-Cero (o sea, explotada cuando aún no se publica un parche), está relacionada con el uso del lenguaje VML (Vector Markup Language), por parte del Internet Explorer.
Si usted no se ha preocupado aún del tema, debería hacerlo. El exploit funciona más o menos así:
1. Usted visita una página Web cualquiera, ignorando que la misma ha sido comprometida.
2. Cuando Internet Explorer carga la página, una función de JavaScript embebida en la misma, puede cargar una secuencia de códigos capaz de explotar la vulnerabilidad VML en su equipo. Note que si bien la configuración sugerida por VSAntivirus para deshabilitar Active Scripting en el Internet Explorer, impediría en este caso la ejecución del script que inicia la secuencia del ataque, al momento actual no es totalmente seguro que esto pueda evitar todas las variantes que pudieran crearse del exploit, máxime cuando ya existe una herramienta para que cualquiera pueda generarlo, con los cambios que desee.
3. Si el exploit se ejecuta, el código provoca un desbordamiento de búfer en el componente VGX.DLL (Microsoft Vector Graphics Rendering (VML)). Básicamente, esto significa que VGX.DLL reserva cierto espacio en su memoria, para recibir determinados datos, relacionados con la interpretación del lenguaje VML, pero recibe una cantidad mayor de la esperada. El “excedente”, sobrescribe el código del propio DLL, y el sistema lo ejecuta. Obvio está en decir, que ese “excedente” contiene alguna clase de código malicioso, generalmente un troyano.
El hecho de que exista una herramienta para crear el exploit, implica que puede agregarse cualquier malware al mismo. A la fecha actual se conocen al menos tres troyanos que utilizan el exploit, y por lo menos uno de ellos con características de rootkit, o sea, con capacidad para ocultarse y evitar ser eliminado luego de su instalación.
Pero este no es el único vector de ataque. Mensajes con formato HTML recibidos por correo electrónico también pueden provocar la ejecución del exploit, si son visualizados en Outlook u Outlook Express.
Aunque Microsoft ha reconocido el problema, por el momento planea la actualización que lo corrija recién para el segundo martes de octubre. Y esto puede ser mucho tiempo. Algo similar ocurrió a finales del año pasado y principios del actual, con la vulnerabilidad en los archivos WMF (Windows Meta File), que permitía la ejecución de código. Ante la gravedad del problema, finalmente Microsoft liberó el parche una semana antes de lo previsto.
Pero mientras tanto, se liberaron parches alternativos creados por terceros. En su momento, y ante la gravedad del problema, los aconsejamos, al menos luego de habernos asegurado de su origen.
Y ahora, parece repetirse la historia. El ZERT, Zeroday Emergency Response Team, una organización no lucrativa compuesta por prominentes investigadores de la seguridad, incluyendo la comunidad de vendedores de software e investigadores independientes, anunció el viernes (22/09/06), la creación del primer parche no oficial para esta vulnerabilidad.
El objetivo del ZERT es publicar este tipo de remiendos cuando los exploits del tipo Zero-Day sean un riesgo serio para el público y/o para Internet. Según el ZERT, “este es un momento cuando no se puede esperar por el parche del vendedor.”
El parche, soluciona la vulnerabilidad, pero… ¿es aconsejable instalarlo?…
Randy Abrams, director de educación técnica en ESET, con 12 años de experiencia anterior en Microsoft, dice que por lógica, Microsoft no puede aprobar parches de terceros. Abrams no es miembro del ZERT, pero trabaja con un grupo de investigadores que pertenecen a esta organización.
“La probabilidad que el parche de ZERT cause problemas, es probablemente mínima, pero Microsoft tiene que probar sus parches contra una docena de idiomas, una gran cantidad de combinaciones de versiones de Windows y de aplicaciones, y para la total compatibilidad con aplicaciones de terceros,” afirma. “Si el parche de ZERT falla, es un problema. Pero si el remiendo de Microsoft falla, el problema se magnifica exponencialmente y la gente comienza a hacer cosas estúpidas como rechazar todos los parches.”
Abrams admite que un parche de terceros, es un serio riesgo. “En última instancia, una persona debe evaluar su propio nivel de riesgo y decidir o no la instalación, desde el punto de vista del conocimiento. Y en todo caso, debe utilizarse solo hasta que llegue el parche del vendedor,” dice.
“El parche es un substituto provisorio,” continúa Abrams. “Cuando Microsoft libera su actualización, sería prudente aplicarlo. El parche de Microsoft tiene soporte, el del ZERT no.”
Jose Luis Lopez, responsable de contenidos de VSAntivirus.com, y director general de ESET Uruguay dice: “Aunque en el caso de la vulnerabilidad WMF llegamos a recomendar un parche no oficial, incluso uno creado por ESET, creemos que en esta oportunidad, se debería aplicar la solución de desregistrar el componente afectado (VGX.DLL). Es más limpio, seguro que no causa problemas, y hasta el momento totalmente efectivo para detener el exploit en cualquiera de sus versiones.”
“De todos modos, es importante que el usuario tome conciencia de la gravedad del asunto, y aplique, si no lo ha hecho aún, tal solución,” dice Lopez. “Al menos hasta que Microsoft publique la actualización oficial.”
La forma de aplicar esto, se explica en el siguiente artículo:
Vulnerabilidad crítica en VGX.DLL (Internet Explorer)
http://www.vsantivirus.com/vul-ie-vml-180906.htm
Más información:
Sitios pornográficos explotan vulnerabilidad de Internet Explorer
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=672
Microsoft Security Advisory (925568)
Vulnerability in Vector Markup Language Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/925568.mspx
Vulnerability Note VU#416092
Microsoft Internet Explorer VML stack buffer overflow
http://www.kb.cert.org/vuls/id/416092
Microsoft Vector Graphics Rendering Library Buffer Overflow
http://secunia.com/advisories/21989/
Microsoft Internet Explorer Vector Markup Language Code Execution Vulnerability
http://www.frsirt.com/english/advisories/2006/3679
Yellow: MSIE VML exploit spreading (NEW)
http://isc.sans.org/diary.php?n&storyid=1727
Relacionados:
Explicación de códigos de alertas
http://www.vsantivirus.com/codigos-alertas.htm
Zeroday Emergency Response Team (ZERT)
http://isotf.org/zert/
(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com