El ingeniero de Google Michal Zalewski cree que la nueva vulnerabilidad crítica en Internet Explorer (IE) podría estar siendo aprovechada por delincuentes chinos.
Una filtración accidental podría haber confirmado las sospechas de que hackers chinos están detrás de la vulnerabilidad crítica aún no resuelta de IE. Desde Microsoft han informado que están analizando la vulnerabilidad.
“Tengo razones para creer que la vulnerabilidad explotable fue detectada utilizando cross_fuzz”, ha declarado Zalewski, refiriéndose a la utilidad fuzzing cross_fuzz que él mismo ha creado y que puede ser utilizada para buscar vulnerabilidades en IE, Firefox, Chrome, Safari y Opera.
Según el relato de Zalewski, un desarrollador que trabaja en WebKit “filtró accidentalmente” la localización de la herramienta de fuzzing que aún no había sido presentada hasta ese momento. Luego Google indexó la herramienta y permitió que algunos chinos tuvieran acceso a la misma.
“El 30 de diciembre recibí consultas de búsqueda de una dirección IP en China, que coincidía con las palabras clave que mencionaba en uno de los archivos indexados de cross_fuzz”, explica Zalewski.
Esas búsquedas estaban intentando encontrar información en un par de funciones en MSHTML.DLL, el motor de búsqueda de IE, que según Zalewski eran únicas para la vulnerabilidad, y que “de las que no había absolutamente ninguna otra mención en Internet en ese momento”.
La persona o personas que estaban buscando las funcionalidades luego se descargaron los archivos cross_fuzz disponibles.
“Esto es muy indicativo de un descubrimiento independiente del fallo en IE por medios independientes, pues otras explicaciones a estas dos búsquedas consecutivas parecen muy improbables”.
Zalewski lanzó cross_fuzz el primero de enero (historia), incluso aunque Microsoft no había aún resuelto ninguno de los fallos de IE. Otros fabricantes de navegadores, como Mozilla y Opera, así como el equipo WebKit, habían resuelto algunos, aunque no todos, de los fallos que había encontrado Zalewski utilizando cross_fuzz.
Microsoft pidió a Zalewski que retrasara el lanzamiento de cross_fuzz, pero él se negó (ver discusiones anteriores sobre divulgación responsable), en parte por su temor a que la vulnerabilidad de IE ya estuviera siendo explorada por los chinos, pero también porque los expertos de seguridad de la compañía no le habían respondido a la información que les había proporcionado.
“Puesto que Microsoft no me ha proporcionado una explicación a porqué estos problemas no habían podido ser investigados antes, he rechazado la petición de que retrasara la liberación de mi utilidad” dijo.
En una cronología detallada de su intercambio de comunicados con Microsoft, Zalewski ha explicado que informó primero sobre sus descubrimientos y proporcionó una versión previa de cross_fuzz en julio. Según su versión, Microsoft no le contestó hasta que les dijo el 20 de diciembre que tenía previsto revelar la herramienta fuzzing a principios de enero.
“Tuve una conference call con MSRC (Microsoft Security Response Center) el 28 de diciembre. El equipo me expresó su preocupación sobre el impacto que podría tener, sugiriéndome que los cambios hechos a mi código durante julio y diciembre podrían no cubrir problemas nuevos que explicarían por qué no habían sido capaces de reproducirlos antes”.
Un día después, Microsoft admitió que no era capaz de reproducir los fallos que había encontrado el fuzzer utilizando el código de julio.
“El equipo de IE ha puesto examinado exhaustivamente los fuzzers, pero no ha sido capaz de encontrar los mismos problemas”, le comunicaron a Zalewski desde Microsoft el pasado 29 de diciembre. “Realmente no puedo decir por qué somos capaces de llegar a algunas de estas condiciones ahora y no antes, pero, por favor, tenga en cuenta que no es algo intencionado”.
Fuente: CSO, Blog de Michal Zalewski
