Haca un par se semanas, como parte de su primera ronda de actualizaciones, Microsoft corrigió un fallo de seguridad crítico en su reproductor multimedia Windows Media Player, sin embargo, ahora investigadores de Trend Micro han advertido que esta vulnerabilidad está siendo activamente explotada para infectar a los usuarios con software malicioso.
La vulnerabilidad en cuestión es provocada por un fallo en la librería multimedia de Windows Media Player al manejar ciertos archivos de audio .MIDI, permitiendo a atacantes la ejecución de código arbitrario. De acuerdo con Trend Micro, recientemente han descubierto que el agujero de seguridad está siendo explotado utilizando HTML como vector de infección. Para llevar a cabo el ataque, se utilizan dos componentes, un audio MIDI incrustado en la página HTML y un archivo Javascript.
Cuando el usuario visita la página web, automáticamente se carga el plugin de Windows Media Player para ejecutar el archivo MIDI, explotando así la vulnerabilidad (aunque para el usuario sólo se está reproduciendo un audio). El archivo Javascript es utilizado para ejecutar una cadena de shellcode que también está incluida en la misma página y que, a su vez, tiene como finalidad conectarse a otro sitio web y descargar un script malicioso identificado como TROJ_DLOAD.QYUA. Aunque no se conocen muchos detalles sobre esta amenaza, Trend Micro asegura que cuenta con características de rootkit.
Ya que los detalles del exploit aparentemente se han hecho públicos, es de esperarse que se produzcan más ataques sacando ventaja de la misma vulnerabilidad, por lo que se recomienda a todos los usuarios descargar cuanto antes los últimos parches publicados por Microsoft. El exploit afecta a las siguientes versiones: Windows XP SP2 y SP3, Vista SP2, Server 2003 SP3, Server 2008 SP2.