Hace unas horas investigadores en seguridad encontraron una vulnerabilidad 0-day en la plataforma Java, que puede ejecutar código remoto desde cualquier navegador que tenga instalado el plugin de Java.

Para aquellos que no lo sepan, una vulnerabilidad 0-day es aquella que es descubierta antes que exista un parche para remediarla y, por lo tanto puede ser explotada sin existir controles específicos para la protección del usuario. Cuando una vulnerabilidad 0-day se hace masiva, su tasa de éxito puede ser muy elevada y puede ser aprovechada por gusanos (llamada wormeable vulnerability) para aumentar su propagación en miles de usuarios y aprovecharse de las ventajas que dan las redes interconectadas.

En esta oportunidad, el reporte en seclists.org informa que un problema en la validación de parámetros puede permitir a un atacante crear un sitio web que explote dicha vulnerabilidad, con unas pocas líneas de programación. Es decir, no es una vulnerabilidad difícil de explotar, lo cual agrava el descubrimiento y aumenta el riesgo para los usuarios.

Se ha comprobado que es posible explotar la vulnerabilidad en los sistemas operativos Microsoft Windows (desde la versión 2000 hasta la 7, inclusive) y Linux que tengan instalado el plugin Java SE Runtime Environment 6 Update 10 en adelante (la actual es el Update 19). MAC OS es la única plataforma desde donde no es posible explotar la vulnerabilidad.

¿Qué puede hacer el usuario? Por el momento recomendamos seguir dos pasos. En primer lugar, comprobar si son vulnerables. Para ello, pueden visitar los enlaces que dejo a continuación y verificar si en sus sistemas se ejecuta la calculadora de Windows (importante: el enlace es inofensivo, sólo es para probar si un sistema es o no vulnerable):

http://lock.cmpxchg8b.com/bb5eafbc6c6e67e11c4afc88b4e1dd22/testcase.html
http://www.reversemode.com/index.php?option=com_content&task=view&id=67&Itemid=1

De nuevo: si al abrir el enlace NO  se abrió la calculadora, su sistema no es vulnerable, puede seguir navegando tranquilo (al menos respecto a esta vulnerabilidad). Si se abrió la calculadora, es recomendable pasar al segundo paso, aplicar un workaround, un procedimiento que permiten no exponerse a una vulnerabilidad.

A pesar de que Sun ya ha sido notificado, la empresa anunció que sacará un parche de seguridad pero que el mismo no será prioritario, y mientras tanto no existe una solución definitiva al problema. Para eso existen los workarounds través de modificaciones en el sistema que no son las más eficientes, pero que solucionan el problema temporalmente. Cuando aparezca el parche, es recomendable volver atrás los cambios del workaround y aplicar la actualización en la aplicación.

En esta oportunidad, el procedimiento para Microsoft Windows consiste en deshabilitar temporalmente un Killbit, tal como indica el siguiente procedimiento de Microsoft: Cómo impedir la ejecución de un control ActiveX en Internet Explorer. Para aquellos más exigentes, obviamente también es posible desinstalar Java del sistema para no ser vulnerables, aunque se perderá usabilidad del mismo.

Les recuerdo a los lectores que no es recomendable aplicar el workaround si no son vulnerables, así como es importante que lo apliquen a la brevedad si han comprobado ser vulnerables.

Ante este tipo de incidentes, donde el fabricante aún no posee un parche, es importante que los responsables de la seguridad en las redes estén al tanto para poder implementar procedimientos adecuados para prevenir inconvenientes mayores y no estar expuestos a estas amenazas, reforzando la importancia de complementar las tecnologías de seguridad con educación tanto del usuario final, como de los responsables de proveer la seguridad en los sistemas.

Sebastián Bortnik
Analista de Seguridad