Tavis Ormandy, ingeniero de seguridad de Google, publicó un código de ataque que explota una vulnerabilidad de día cero en Windows XP. El técnico ha sido criticado por el entorno de la seguridad TI por haber hecho pública la vulnerabilidad tan sólo cinco días después de haberlo comunicado a Microsoft, sin darle tiempo para actuar y dejando a los hackers vía libre para secuestrar e infectar sistemas con código malicioso.
Microsoft está confirmando la vulnerabilidad reportada por Tavis Ormandy, que trabaja en seguridad para Google en Suiza, y según la cual, los hackers podrían aprovechar una brecha en el Centro de Soporte y Ayuda de Windows. Ormandy publicó el 10 de junio los detalles de este agujero y una prueba de concepto del código de ataque en la lista de correos de seguridad Full Disclosure, donde afirmaba que “un atacante remoto es capaz de ejecutar comandos arbitrarios con los privilegios del usuario actual”. El escenario de ataque descrito por este experto funciona utilizando todos los grandes navegadores, incluyendo el reciente IE8. La brecha es aún más sencilla de explotar cuando el equipo tiene instalado Windows Media Player, por defecto en todas las versiones de Windows.
El ingeniero de Google también explica que ha sido capaz de suprimir una ventana de alerta que despliega Windows XP cuando se solicita el Centro de Soporte y Ayuda, haciendo el ataque más sigiloso. El ataque que describe el técnico es complicado y requiere de varios engaños, como eludir una lista blanca establecida para limitar los documentos de ayuda accedidos y legitimar los archivos de soporte; el uso de una vulnerabilidad cross-site scripting; y ejecutar un script malicioso.
No obstante, funciona. La firma de seguridad francesa Vulpen Security ha comprobado que la prueba de concepto de Ormandy funciona en equipos con Windows XP SP2 y SP3 que tengan Internet Explorer 7 o IE8. Cambiar a otro navegador, como Firefox o Chorme, no es la solución, señala el propio Ormandy: “Los equipos con una versión de IE inferior a 8 están, como es normal, en peor situación. La elección de navegador, cliente de correo o lo que sea no es relevante, son todos igual de vulnerables”.
Ormandy admite en su post que informó de la vulnerabilidad a Microsoft el sábado 5 de junio, pero dice que decidió hacerlo público por su severidad y porque creía que Microsoft habría, de otro modo, desestimado su análisis. “Si hubiera informado del problema sin un exploit funcionando, me habrían ignorado”, señala en Full Disclosure.
El ingeniero de Google critica, además, el concepto de “revelación responsable”, un término que Microsoft y otros proveedores aplican a los informes de brechas que se envían de forma privada, dejando a los desarrolladores tiempo para crear el parche antes de que la información se haga pública. “Este es otro ejemplo de los problemas con el secretismo de las brechas. Aquellos que trabajamos duro para mantener a salvo las redes nos vemos forzados a trabajar aislados sin la colaboración abierta de nuestros compañeros”.
Microsoft ha llamado la atención a Ormandy por darle menos de una semana para solucionar el problema. “Estamos especialmente preocupados por la revelación pública de esta brecha, pues tan solo hemos sido notificados por este investigador el pasado 5 de junio”, explica Jerry Bryant, director de grupo del Microsoft Security Response Center (MSRC), en un correo electrónico. Otros expertos en seguridad se preguntan los motivos de esta publicación tan rápida, y dicen que se trata de una evidencia de la continua guerra entre Google y Microsoft.
En su escrito, Ormandy propone algunas acciones para los usuarios, hasta que haya un parche, como un enlace a lo que él considera un “hotfix no oficial”. Sin embargo, desde la firma de seguridad Secunia dicen que el parche no funciona. También está de acuerdo en este asunto Microsoft. “Las mitigaciones presentadas podrían no ser efectivas, por lo que esta persona ha puesto en riesgo a nuestros clientes y a los clientes de su empleador”, señala Bryant.