(Por El Microsaurio) Y el usuario final… bien, gracias. El motivo es una falla de programación, no solucionada, que afecta a los usuarios de Microsoft Internet Explorer, Outlook Express y Live Mail. Descubierta en 2002 y 2004 (y sin emparchar), descripta como “característica de programa” y no “falla” (y por eso, sin emparchar) en 2006, reconocida un año después, ahora es empleada para atacar a usuarios de Gmail, además de a quienes usan Windows. Poné a calentar el té de tilo y sentate, que te cuento…
Había una vez un equipo de trabajo que decidió inventar un formato de archivo llamado MHTML, para incluir ciertos contenidos dentro de los correos electrónicos. Eso, al menos es lo que se puede leer en la RFC 2557. Los versadísimos especialistas trabajaban en esa época (marzo de 1999) para la Universidad de Estocolmo, Microsoft y Lotus. Sí, cuando Lotus era Lotus. El MHTML es un “formato contenedor”, donde se puede meter bastantes cosas, contenido html, por ejemplo, como pacientemente describe Michael Zalewsky, un capo que trabaja para Google.
En 2004 un investigador japonés (star_dust) se avivó de que cuando Outlook Express o Internet Explorer abrían un archivo mhtml y extraían el contenido, podían pasar cosas… interesantes, como meterle órdenes indebidas al programa “lector”, ya que la forma en que se abría el archivo era “descuidada”, no se verificaba previamente si el contenido traía un script que atacara al sistema operativo. Por lo tanto, se podía aprovechar la falla y robar información. Desde Rusia le comentaron al japonés que ellos en el 2002 ya habían aprovechado esa falla para atacar equipos.
En febrero de 2005 otro especialista, que firmó como Bitlance Winter, publicó varias características del problema, y la descripción de cómo se hace un ataque, en un mensaje en broken english enviado a una muy conocida lista de seguridad occidental. No les doy la URL porque hay demasiados detalles, pero para eso está el gúgle. En septiembre de 2006 le informan a Microsoft el problema. La respuesta fue “eso es una característica del programa, no una falla”; lo cual era de imaginar, ya que se trataba del comportamiento de una DLL, la que abre los archivos mhtml y ejecuta lo que se debe y lo que no se debe. Como para que en Redmond entendieran la gravedad del problema, otro japonés, Hasegawa, les mostró cómo se podía explotar la falla… usando la página de MSN Japón. Esta vez la respuesta fue el Boletín de Seguridad MS07-034, con un parche.
Pero no, el tema no está terminado. Las cosas siguen poniéndose espesas, los especialistas siguen comunicándole a Microsoft que el problema no está totalmente solucionado, y en este blog de Security Research and Defense de la empresa dicen claramente: “por diseño, el manejador de protocolos MHTML es vulnerable (al ataque) en Windows XP y todas las versiones posteriores de Windows. Internet Explorer es un vector de ataque, pero como esta es una vulnerabilidad de Windows, la versión de Internet Explorer instalada no es relevante”. Sospecho que esa frase apunta a que si instalaste el segurísimo y blindado Internet Explorer 9, no importa, fuiste. Al menos ahora te lo dicen clarito y no esquivan el bulto, se nota que el equipo de seguridad ha cambiado desde 2005…
En la Nota de Seguridad 2501696 se explica en detalle el problema, y se informa que han preparado una herramienta automatizada, un Fix It, que se puede aplicar a una PC con Windows hasta que llegue el esperado Boletín de Seguridad con un parche, cosa que por ahora no tiene fecha de salida.
Para agregarle un poco de alcohol al incendio, pocos días después de que Microsoft mencionara que no había ataques reales detectados, Google publicó un informe en un blog propio, comentando que desde enero de 2011 había material de ataque posteado en la Web, y agregando esta interesantísima frase: “hemos determinado que hubo ciertos ataques cuidadosamente apuntados contra algunos de nuestros usuarios, aparentemente motivados por razones políticas; creemos que un blanco específico han sido determinados activistas; hemos visto también ataques dirigidos contra usuarios de un popular sitio social…” Según sospecharon tanto PC Magazine como The Register, el “popular sitio social” podría ser Facebook.
En resumen: falla antigua, método de ataque conocido, involucra todas las versiones de Windows, no hay parche, hay un Fix It que instalarás si te animás y te hacés responsable de que algo no funcione más. ¿Sabés que me parece haber escrito esto otras veces?