lunes, 28 de abril de 2014

Un grave fallo de seguridad afecta a todas las versiones de Internet Explorer

La noche del Sábado 26 de Abril, Microsoft publicó una nota confirmando la existencia de un nuevo agujero de seguridad en su navegador web Internet Explorer, una vulnerabilidad crítica de tipo "Day Zero", la cual ya está siendo utilizada por páginas webs maliciosas para ejecutar código en los equipos que las visitan con el fin de controlarlos de forma remota, acceder a sus datos, instalar programas maliciosos y crear cuentas de usuario con capacidades administrativas. Han sido detectados varios ataques cibernéticos que se sirven de dicha vulnerabilidad para lanzar ataques masivos.

[ Ver el aviso de seguridad de Microsoft Nº 2963983 ]

La vulnerabilidad fue dada a conocer inicialmente por investigadores de la compañía de seguridad FireEye, que observaron ataques dirigidos a las versiones 9,10 y 11, las cuales vienen con el software Adobe Flash incorporado, aunque todas las versiones de Internet Explorer se encuentran igualmente afectadas, una vulnerabilidad que plantea además especiales problemas para aquellos equipos que todavía funcionan con el sistema operativo Windows XP, pues su soporte terminó hace escasas semanas. Microsoft planea lanzar una actualización de seguridad de Internet Explorer para las versiones de Windows que todavía cuentan con soporte, aunque falta por saber que ocurrirá con Windows XP.

Las páginas webs maliciosas aprovechan esta vulnerabilidad cargando un archivo con extensión .swf de Adobe Flash que utiliza una conocida técnica de explotación (exploit) para lograr el control total de la memoria aleatoria, eludiendo las protecciones DEP (Prevención de ejecución de datos) y ASLR (Diseño de espacio de direcciones aleatorias) y obteniendo privilegios de ejecución de código.

El departamento federal de Seguridad en Técnica Informática de Alemania (BSI) ha advertido de la existencia de graves lagunas de seguridad en el explorador de Microsoft: "El BSI recomienda por tanto a todos los usuarios de Internet Explorer utilizar navegadores alternativos hasta que el fabricante logre superar esos problemas".

RECOMENDACIONES

Si no hay algún motivo que haga imprescindible la utilización de Internet Explorer:

  • Utilizar otros exploradores web como Mozilla Firefox, Google Chrome, etc., al menos hasta que Microsoft lance la necesaria actualización de seguridad.

Si resulta imprescindible la utilización de Internet Explorer:

  • Si está instalado el Internet Explorer 11, tanto en equipos con Windows 7 para sistemas basados ​​en x64 como en equipos con Windows 8, Microsoft sugiere la activación del modo de protección mejorada hasta que sea lanzada la necesaria actualización de seguridad.

  • En cualquier otro caso puede deshabilitarse el plugin de Flash en Internet Explorer, ya que el exploit necesita que Adobe Flash esté activado para poder ejecutarse.

  • En caso de que no se pueda esperar a que salga la actualización de seguridad y se tenga la necesidad de navegar con Internet Explorer y sin deshabilitar el plugin de Flash, la solución temporal aunque excesívamente compleja a nivel de usuario y que conlleva además el riesgo de provocar incompatibilidades con las aplicaciones instaladas en el ordenador, es la instalación de la herramienta de seguridad de Microsoft llamada EMET (Mitigación Enhanced Experience Toolkit), además de ajustar la configuración de seguridad a nivel alto y deshabilitar las secuencias de comandos ActiveX.

¿Y qué pasa si el sistema operativo del equipo es Windows XP?:

  • En el caso de que Microsoft decida no lanzar un parche de seguridad para esta versión del sistema operativo por haber dejado de recibir soporte recientemente, será necesario abandonar definitivamente el uso del explorador web Internet Explorer y utilizar otros navegadores como Mozilla Firefoz, Google Chrome, etc., o instalar en el equipo una versión más moderna de Windows.

Por último, recordar que como norma general siempre debe evitarse visitar páginas web en las que se soliciten continuamente instalaciones de determinados visualizadores, plugins, actualizaciones Flash, etc., con la excusa de que son necesarias para acceder a los recursos ofrecidos.