El gigante del software ha contrariado una vez más su costumbre de publicar parches de seguridad los segundos martes de cada mes y se ha visto obligado a lanzar una corrección de emergencia ante el grave problema que supone Scob.

Scob (también conocido como Download.Ject) es el nombre de un ataque vírico que infecta a usuarios de Internet Explorer que visiten páginas web que utilicen un servidor HTTP de Microsoft comprometido. La combinación de vulnerabilidades en los dos productos, resultó en la posibilidad de ejecutar código en los usuarios que navegaran por páginas afectadas. Este fenómeno se observó durante la semana pasada e hizo sonar la alarma entre expertos en seguridad.

El grupo o individuo atacante consiguió insertar en estos servidores un código JavaScript especial y modificar la configuración del servidor para que añadiese ese mismo código a toda página web servida de forma totalmente transparente. Así, cualquier cliente que visitara la página con Internet Explorer, descargaría este código JavaScript que se conectará a servidores rusos para instalar definitivamente un troyano. Todo esto sin advertencia alguna para el usuario.

Finalmente, la corrección a este fallo hecha pública una semana después del descubrimiento de Scob, no es un parche como a los que estamos acostumbrados. Se trata de una modificación automática de las propiedades de seguridad del navegador y sistema operativo, que impide la ejecución del objeto Adodb.stream.

Sacudido por las críticas y acuciado por la urgencia, Microsoft no ha creado un parche para solucionar un "problema" que en realidad se ha concebido como una funcionalidad ventajosa para el usuario. El objeto fue creado en un principio para que algunas páginas fuesen capaces de leer y escribir en los discos duros de los clientes. Finalmente, se ha demostrado que combinado con otras vulnerabilidades, el objeto permite la ejecución de código arbitrario en la máquina. La empresa de Bill Gates ha tomado el camino fácil y ha hecho público un pequeño paquete que deshabilita la función, dejando la verdadera fuente del problema sin resolver.

La corrección puede provocar que páginas legítimas no interactúen correctamente con el usuario. Para estos casos, Microsoft ya ha preparado documentación específica.

En la nota de prensa publicada, recuerda que habrá que esperar a después de verano para poder utilizar Service Pack 2 para Windows XP, que promete solventar muchos de los fallos en Internet Explorer que están siendo explotados hoy. Con este conjunto de mejoras, pretende modificar su filosofía e incluir nuevas herramientas de seguridad activadas por defecto.

Más información y referencias.

Critical Update for Microsoft Data Access Components - Disable ADODB.Stream object from Internet Explorer
http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=4D056748-C538-46F6-B7C8-2FBFD0D237E3

Microsoft Statement Regarding Configuration Change to Windows in Response to Download.Ject Security Issue
http://www.microsoft.com/presspass/press/2004/jul04/07-02configchange.asp

Sergio de los Santos
http://www.forzis.com