La imagen del libro Zero-Day Exploit: Countdown to Darkness (Cyber-Fiction),  de Rob Shein del títular del post lo resume perfectamente.

«Fallo Zero Day, la cuenta atrás a la oscuridad.»

Pero el titular tecnológico de hoy a nivel mundial es:

Microsoft advierte de un fallo de seguridad en Internet Explorer. El fallo de seguridad afecta a cientos de millones de usuarios.

Las vulnerabilidades denominadas ‘zero-day’ son raras, sobre todo porque son difíciles de identificar, exige ingenieros de ‘software’ altamente cualificados o piratas informáticos con un montón de tiempo para analizar códigos que pueden ser explotados para lanzar ataques.

Los expertos en seguridad sólo descubrieron ocho de las principales vulnerabilidades ‘zero-day’ en todo el 2011, según Symantec.

¿ Donde viene ese término? y ¿ Qué es exactamente ?

Un ataque de día-cero (también «0« day) es un ataque contra una computadora, basado en encontrar vulnerabilidades aún desconocidas en las aplicaciones informáticas.

Este tipo de exploit circula generalmente entre las filas de los potenciales atacantes hasta que finalmente es publicado en foros públicos.

Un exploit de día-cero normalmente es desconocido para la gente y el fabricante del producto.

Considero que, lo más peligroso es, el tiempo empleado para generar estos parches y corregir el error, ya que puede durar varios días, y durante  este periodo la  ventana para un ataque estará abierta.  Además de no existir nada, ni nadie que conozca el fallo.

El término «Zero Day» se define como un ataque cronometrado que se lleva a cabo dentro de un corto período de tiempo, generalmente menos de un día. Estos ataques  son cuidadosamente orquestados para hacer el máximo daño porque los antivirus tradicionales, herramientas (parches de software, antivirus, etc …) no tienen tiempo suficiente para reaccionar.

«El daño será mayor cuantos más días pasen del dia cero.»

En el caso de Microsoft, y la Hiedra venenosa (Poison Ivy)

 ¿ Cuántos días han pasado hasta que Eric Romang, investigador en Luxemburgo lo detectó ?

El nuevo y desconocido exploit puede ser usado para cargar software malicioso y tomar control remoto en máquinas que funcionan con todos los parches de Windows XP SP3 con las últimas ediciones de IE 7 y el navegador Internet Explorer 8 y el software Flash de Adobe, según Eric Romang, que descubrió la vulnerabilidad.

Después de ejecutar uno de los archivos de ejemplo en un sistema, con todos los parches de Windows XP SP3, con una versión puesta al día de Adobe Flash, Romang se sorprendió al encontrar los archivos infectados con software malicioso en su sistema XP

El nuevo troyano, según he podido analizar, carga el fichero Flash MOH2010.SWF.  Una vez visitada la web, el html carga el objeto flash que provoca el fallo en el núcleo de ejecución de Explorer.
Por lo tanto, al visitar la web con dicho objeto swf nos podemos infectar.

Un análisis más detallado especifica el  uso de una técnica común denominada «heap spray» que permitió sentar las bases del ataque por iFrame contra los sistemas vulnerables , instalando un programa malicioso, el 111.exe.

El malware ha sido identificado como una nueva variante del programa Posion Ivy caballo de Troya, según la firma de seguridad Labs AlienVault.

Lo único que nos puede salvar en sucesivas ocasiones es:

•  Que,  alguien como este fenómeno lo detecte y lo filtre en los foros.
•  Que, las empresas contraten a los mejores profesionales de seguridad (y aún así puede pasar), para solucionar el problema cuanto antes.
• Invertir, «no recortar» en formación relacionada con las nuevas tecnologías y  la seguridad. De lo contrario, a la máquina de escribir.
• Educar  desde temprana edad a los futuros usuarios,  para ser conscientes del daño que esto ocasiona.

y con todo, crucemos los dedos …