En la jungla de vulnerabilidades, los hackers éticos y los investigadores de seguridad desinteresados ​​son valiosos observadores. Asumen una especie de papel de "denunciantes" de los proveedores cuyas soluciones a veces presentan amenazas directas para sus usuarios y, con mucha frecuencia, se los cita y nombra directamente en los avisos de seguridad. Sin embargo, este reconocimiento está lejos de ser sistemático y contribuye a calentar un poco las mentes incluso de las mejores almas. Esto es precisamente lo que sucedió recientemente con el descubrimiento por parte de los investigadores de la Zero Day Initiative (ZDI), perteneciente a la editorial de seguridad Trend Micro, de la vulnerabilidad explotada. CVE-2024-38112 Puntuación CVSS 7.5 relacionada con la suplantación de la plataforma MSHTML de Windows.

Corregido en el último parche del martes de julio de la firma de RedmondEsta vulnerabilidad no ha sido objeto de ninguna atribución, lo que no ha dejado de levantar un pequeño viento de amargura para los principales interesados. El núcleo de la polémica proviene sin duda del hecho de que ZDI identificó este CVE como RCE (ejecución remota de código), lo que no fue el caso de Microsoft, que prefirió clasificarlo en la casilla de ataques de suplantación de identidad. [Microsoft] "Nos dicen que lo que informamos es una solución de defensa en profundidad, pero no nos dicen cuál es realmente esa solución de defensa en profundidad", ha explicado Dustin Childs, gerente de conocimiento de amenazas de ZDI, dijo a The Register: "La gente de Trend Micro ha estado hablando por teléfono con Microsoft para averiguar qué sucedió, pero parece que no entienden realmente qué está pasando con este parche".

Una solución inesperada

"Se trata de un exploit bastante inteligente", afirmó Dustin Childs. "Estos actores de amenazas han encontrado una forma de resucitar un Internet Explorer zombi para utilizarlo como un ladrón que busque carteras de criptomonedas". Según un análisis técnico del exploit MSHTML denominado Void Banshee y publicado por Peter Girnus y Aliakbar Zahravi de Trend Micro, se dirige a empresas de Norteamérica, Europa y el sudeste asiático para ejecutar el malware de robo de información Atlantida en PC con Windows. La falla fue informada a Microsoft a mediados de mayo, pero la empresa no la ha informado a ZDI desde entonces, a pesar de su naturaleza peligrosa. Hasta la víspera del lanzamiento del parche el martes de la semana pasada, figuraba como parcheado por el centro de respuesta a incidentes del grupo (MSRC), que predijo que habría una solución disponible en agosto, mientras que Trend Micro ya había proporcionado un parche para sus usuarios.

Microsoft no ha respondido aún a las críticas de ZDI y Trend Micro. Sin embargo, la firma de Redmond está lejos de ser un caso aislado: otras empresas como Autodesk, Ivanti, Dassault Systèmes, JetBrains, etc. también son señaladas por Dustin Childs por su falta de lealtad hacia quienes descubrieron los fallos. "Son los usuarios finales los que van a acabar sufriendo esta situación", advierte. "Si no son capaces de evaluar con precisión el riesgo para sus sistemas, es posible que no puedan implementar los parches a tiempo".