Flash y Java siguen siendo tan vulnerable como siempre, dice Microsoft



El último informe de Microsoft Security Intelligence para el segundo semestre del 2013 ve a Java y a Flash como los mayores vectores de ataque, siendo Java el más atacado.

Java y Flash son todavía los mayores objetivos para los atacantes, y Java se ha convertido en el mayor problema de seguridad para los usuarios de Windows, de acuerdo con el más reciente informe de Microsoft Security Intelligence Report. El reporte 16 cubre las tendencias de la seguridad TI en todo el mundo a través de la segunda mitad del 2013.

El informe, reunido principalmente por la división de inteligencia de Trustworthy Computing de Microsoft, en él se ve la forma en cómo las amenazas más comunes pueden ser enfrentadas en la computación hoy en día - vulnerabilidades, malware, exploits, etc -. La evolución que hubo durante 2013. Lo más desalentador es que muchos de los mismos tipos de exploits, ataques y vectores de ataque siguen siendo un problema.

Un ejemplo: Java. Un análisis de los diferentes objetivos de los exploit kits mostraron ser tres durante el año pasado siendo estos los de Java, Internet Explorer y Adobe Flash, Java hasta ahora va a la cabeza de los demás que apenas merecían una mención. Y aún del propio Windows. Después de todo, ¿por qué molestarse derribando la puerta principal cuando se puede deslizar a través de una ventana trasera?

A tal efecto, la gran mayoría de las vulnerabilidades involucran aplicaciones que no forman parte del núcleo del sistema operativo, como los navegadores. Java y Flash, una vez más, fueron los más grandes ejemplos, pero Flash era particularmente el culpable de que las amenazas eran más persistente siendo este debido a él, CVE-2007-0071, se informaba y se parchaba desde el principio, aunque no lo creas, desde el 2008. Esto habla del estancamiento de Flash como tecnología; o bien se está utilizando, pero no se está actualizando o es deshabilitado pero eso no quita el riesgo (Otro conjunto de exploits, involucran documentos, que principalmente son los PDF infectados).

Una de las razones para el crecimiento explosivo de los ataques a Java y Flash fue la creciente prevalencia de los exploits kits, conjunto de exploits que se venden en el mercado negro. Esto se hace posible debido a que muchas más personas se organizan para orquestar los ataques sin tener que encontrar vulnerabilidades en sí mismo o crean las herramientas para explotarlas.

Esto no quiere decir que el sistema operativo en sí no es un objetivo. De hecho, de acuerdo con Microsoft, el número de vulnerabilidades del núcleo del sistema operativo se ha incrementado de manera constante año tras año. No todo involucra a Windows, sin embargo, como Microsoft lo señala es una tendencia de toda la industria.

El informe considera que es una buena noticia en que las tasas de explotación han disminuido, siendo las más comunes las diferentes variedades de exploits (Java, Flash). Esto parece ser debido gracias a una mayor vigilancia en los sitios web que contienen etiquetas <iframe> que apuntan a servidores infectados con malware - no sólo a un nuevo exploit sino a frameworks Web que no han sido actualizados para proporcionar protección, según Microsoft. Pero, aunque alrededor del 20 por ciento de sistemas en el que ha encontrado malware en el 2013, sólo 1,17 por ciento terminó infectado.

La declaración de que el software antivirus "está muerto" por Brian Dye, Senior VP de Symantec, ha provocado mucha introspección y discusión sobre qué tipo de seguridad funciona mejor en un mundo de rápida evolución donde las amenazas son impulsadas por ganancias financieras. El informe de Microsoft apunta a un enfoque proactivo--cerrando los sindicatos de crimeware y dejando las botnets fuera de linea – siendo este el camino a seguir.

Tales acciones, sin embargo, generalmente son prácticas sólo para organizaciones del tamaño de Microsoft, y así las recomendaciones hace que Microsoft esté minimizando superficialmente el ataque mediante un Enhanced Mitigation Experience Toolkit o usando AppLocker o Directivas de grupo a la lista blanca de aplicaciones.

El bit más útil de este Consejo puede ser el que se da en está linea final: "Identificar las dependencias de intercambio en Java y desarrollar un plan para reducir al mínimo su uso donde no es necesario". Como Paul Krill y Roger Grimes ambos de infoworld han lamentado: Ojalá fuera tan sencillo.

Fuente: Infoworld