Parche no oficial para la vulnerabilidad VML

Tal y como ocurriera a principios de año con la popular vulnerabilidad WMF, la gravedad del fallo VML ha promovido la aparición de un parche no oficial. De hecho, fue a partir de aquella experiencia (una especie de plaga, en la que miles de sistemas Windows quedaron infectados) que un grupo de reputados expertos (entre los que se encuentra Ilfak Guilfanov, programador del exitoso primer parche no oficial) creó la organización ZERT (Zero Day Emergency Response Team). Su objetivo desde entonces es el de programar parches para solventar problemas de seguridad de tipo “0 day” siempre que su gravedad lo requiera. Esta es una de esas ocasiones. La actualización creada por ZERT permite mantener la funcionalidad VML de Internet Explorer y evitar que sea vulnerable. Hasta ahora, las soluciones sólo permitían mitigar el problema por ejemplo deshabilitando javascript o desregistrando la librería responsable (vgx.dll).

ZERT no pretende reemplazar a los parches oficiales. Según ellos, sólo ofrecen una alternativa en un momento de crisis. De hecho recomiendan que el suyo sea desinstalado cuando Microsoft publique el oficial. La idea es proporcionar una respuesta rápida y eficaz a un problema cuando no existe otra solución.

Y es que la vulnerabilidad basada en la funcionalidad VML (Vector Markup Language) del navegador Internet Explorer necesita soluciones porque está siendo aprovechada de forma masiva. Cada vez son más las páginas que (si son visitadas con permisos de administrador) intentan infectar a los sistemas con decenas de troyanos distintos. En el laboratorio de Hispasec, estamos comprobando y analizando las nuevas formas de aprovechar la vulnerabilidad, y sorprende la rapidez con la que el código es modificado y ofuscado para pasar desapercibido ante los programas antivirus. Con la ayuda de VirusTotal, estamos comprobando que son muy pocos los productos que son capaces de alertar del intento de explotación, e incluso éste es modificado constantemente. Esto indica una clara voluntad por parte de los atacantes de aprovechar al máximo el problema mientras no exista parche y sin que los antivirus entorpezcan su difusión.

Microsoft por su parte no termina de recomendar la aplicación de parches de terceros. También ha publicado una entrada en su blog en la que deja entrever que es posible que publique una solución fuera del ciclo habitual, aunque no reconoce que el problema esté siendo aprovechado de forma tan masiva.

Según ZERT, el grupo ha tardado 19 horas en crear su parche, comprobarlo y publicarlo. Microsoft dice que cuando la programación de su actualización llegue al nivel de calidad y compatibilidad al que aspiran, será puesto a disposición de todos. Según ellos han avanzado bastante en estos días y la publicación podría ocurrir antes del día 10 de octubre, porque prima la calidad y la protección de sus usuarios antes que un estricto cumplimiento del ciclo de actualización.

Si estas iniciativas no oficiales siguen proliferando, junto con la cada vez más habitual aparición de graves vulnerabilidades antes de la publicación de parches, es posible que Microsoft tenga que replantearse la eficacia de su ciclo actual de actualizaciones o, con el fin de agilizar su publicación, bajar el listón de “calidad” al que aspiran.