Hace unos días en Barrapunto se habló sobre un artículo de USA Today que comentaba los resultados de un estudio que demostraba cómo máquinas limpias eran convertidas en zombies sólo minutos después de conectarlas a Internet, sin hacer nada más, sólo permanecer conectadas.

En concreto, un Windows XP SP1 sin los parches posteriores, tardaba cuatro minutos en sufrir la primera intrusión y media hora después ya estaba siendo controlado remotamente y era usado para buscar más máquinas desprotegidas.

Si en su día leíste Infectados en 20 minutos ésto no debería sorprenderte. Lo que sí puede ser sorprendente es que ese tiempo todavía puede disminuir drásticamente si se hace algo más que simplemente permanecer conectado a la Red, como por ejemplo, usar Internet Explorer. Mariano y Andrea enlazaron la semana pasada un artículo de Benjamin Edelman en el que se preguntaba ¿Quién se beneficia de los agujeros de seguridad? y desde el que se puede acceder a un vídeo (8 minutos, 4,3MB, formato Microsoft ASF) que demuestra que basta un solo minuto para comprometer seriamente un sistema Windows XP si se usa Internet Explorer.

En el vídeo se visita una página preparada para aprovechar los agujeros de seguridad de Internet Explorer que están sin corregir (no hay parche) y el resultado es que se instalan 16 programas distintos de tipo spyware, se cambia el fondo de pantalla por un anuncio y aparecen varios elementos nuevos en el escritorio, algunos de ellos dialers con imágenes de sexo explícito como icono. En un minuto. Y visitando una sóla página.

Hay que tener en cuenta que lo que se instala es spyware y no herramientas de control remoto, no porque no se pueda, sino porque no se quiere. Como dice Benjamin Edelman en su artículo, quien prepara estas páginas cobra por instalación de las empresas que se anuncian o de las que recaban los datos extraídos de las máquinas comprometidas. Si el objetivo fuese otro, como por ejemplo, reunir suficientes máquinas zombies como para atacar un sitio y eliminarlo de la Red (vease el reciente caso de Lycos y su salvapantallas contra el spam) lo que se instalaría sería más grave que el spyware.

La gente de Secunia ha descubierto una vulnerabilidad que afecta a, al menos, todos los navegadores con una cuota de mercado significativa, esto es Internet Explorer, Mozilla/Firefox, Opera, Netscape, Konqueror y Safari. Hay una prueba de concepto disponible para todos ellos.

El agujero de seguridad que deja al descubierto no es muy peligroso por sí mismo. Permite construir un sitio web malicioso que inyectará contenido en otra página cuando el usuario pulsa un enlace hacia ésta última. Sin embargo, el engaño, aunque novedoso, resulta muy pobre sin la posibilidad de falsear la dirección de la barra de direcciones o el certificado de seguridad de un sitio.

Aunque en Secunia han colocado el mismo nivel de gravedad de la vulnerabilidad en todos los navegadores, lo cierto es que hay grandes diferencias, sobre todo si comparamos Firefox, el más seguro, con Internet Explorer, el más inseguro, el resto quedarían en un punto intermedio. Vamos a ver algunas:

• La prueba de concepto intenta eliminar la barra de estado. En Firefox 1.0 (en la configuración por defecto) no es posible eliminarla.
  
• Se intenta eliminar también la barra de direcciones (esto evitaría la necesidad de otra vulnerabilidad para falsificarla). Es posible configurar Firefox de manera que ésto tampoco sea posible.
  
• En páginas seguras (que son los objetivos más jugosos para este tipo de engaños) Firefox muestra en la barra de estado (que, recordemos, no es posible eliminar) dónde estamos realmente, aunque haya desaparecido nuestra barra de direcciones.
  
• La costumbre de usar el botón central del ratón para abrir todo en nuevas pestañas (algo que se vuelve autómatico al poco de usar Firefox) ocasiona que la prueba de concepto no funcione. Aunque me da la impresión de que el código malicioso puede mejorarse sin muchas dificultades para que funcione con pestañas, en principio no se ha tenido en cuenta el uso de éstas, y sólo Internet Explorer carece de ellas.
  
• Firefox 1.0 no tiene ningún otro fallo de seguridad conocido con el que combinar éste para mejorar el engaño. Internet Explorer tiene al menos otros 10 que permiten hacerlo casi perfecto.
  

En resumen, dependiendo del navegador usado, un sitio malicioso podría engañar o bien sólo a los más novatos, o bien hasta al más experto, sino está especialmente atento en ese momento.

Además, esta vulnerabilidad nos da otra oportunidad para ver cómo de rápido responden unos y otros al mismo fallo. Hagan sus apuestas.

Según el weblog de la conocida firma de seguridad Kaspersky Lab, el adware ha cruzado la línea que separa este tipo de programas maliciosos de los virus y ya hay al menos uno que infecta ficheros ejecutables.

El ejemplar en cuestión pertenece a la familia CoolWebSearch, que además de ser un adware clásico, también secuestra la página de inicio de Internet Explorer y, en ocasiones añade una barra de búsqueda al navegador de Microsoft, y que se ha ganado una merecida fama de extremadamente difícil de eliminar. Con esta innovación, CoolWebSearch dará todavía más quebraderos de cabeza a los que intenten deshacerse de él y sobre todo a los programas especializados en eliminar spyware y adware, ya que no están equipados con la tecnología necesaria para desinfectar ficheros. Es más, el código con el que se infecta los ficheros legítimos no es una copia de este nuevo adware/virus sino un lanzador que lo pone en marcha, así que eliminar el adware sin desinfectar los ficheros podría dar problemas de estabilidad adicionales.

Como noticia relacionada, Microsoft acaba de anunciar en una nota de prensa que adquiere la compañía líder en tecnología antispyware Giant Company Software y promete tener una beta de antispyware propio basado en los desarrollos de esta compañía en el plazo de un mes.

Habrá que ver cómo afecta ésto a programas que han demostrado ser efectivos y confiables y con mayor experiencia en éste campo como Ad-Aware, Spybot-Seach & Destroy y PestPatrol.