Noticias

Vulnerabilidades no parcheadas por Microsoft y herramientas alternativas para protegerse

13 de Enero de 2011

Al momento de escribir el presente, Microsoft acaba de lanzar las dos actualizaciones correspondientes a enero de 2011 [1]; la primera de ellas para solucionar dos vulnerabilidades en Backup Manager sobre Windows Vista y, la segunda, para solucionar 14 vulnerabilidades Microsoft Data Access Components (DAO) en todas las versiones de Windows.

Sin embargo Microsoft ha dejado de parchear al menos seis vulnerabilidades importantes en otros componentes de Windows, para los cuales se encuentran disponibles exploit públicos y podrían ser utilizados por delincuentes y creadores de malware. Se ha publicado un resumen de dichas vulnerabilidades en Technet [2] y a continuación se hace un repaso de las mismas así como la forma de prevenir ser afectados por las mismas, hasta que existan las actualizaciones oficiales.

A finales de noviembre se publicó un exploit 0-day (detectado por ESET NOD32 como Win32/Exploit.Agent), el código fuente y un video explicativo [3] de una vulnerabilidad en Windows 7 y Windows 2008 que permite obtener privilegios de “System” (el más alto incluso por encima del “Administrator”) a cualquier usuario con acceso físico al sistema.

A principios de diciembre de 2010 se publicó una vulnerabilidad en todas las versiones de Internet Explorer (KB 2488013) [4], que se aprovechaba de un fallo en el procesamiento de las hojas de estilo en cascada (Cascading Style Sheets, CSS) y permitía la denegación de servicio y la ejecución de código en el sistema del usuario. Posteriormente se publicó un exploit (detectado por ESET NOD32 comoJS/Exploit.Shellcode) a través de la popular herramienta Metasploit [5], por lo que cualquier usuario con conocimientos medios puede aprovecharlo.

A finales de diciembre se hizo pública otra vulnerabilidad que afecta al producto Fax Cover Page Editor (fxscover.exe) en todas las versiones de Windows y, al igual que en el caso anterior, también existe un exploit público [5].

También en la última semana de diciembre Microsoft confirmó que se encontraba investigando una vulnerabilidad en Microsoft Internet Information Services (IIS) versión 7.5 en Windows 7 (VUPEN/ADV-2010-3305) [6]. Esta vulnerabilidad podría ser explotada por atacantes remotos no autenticados y permitiría ejecutar código arbitrario con privilegios elevados y/o tomar el control completo de un sistema vulnerable.

El primero de año, el experto polaco Michal Zalewski liberó su herramienta cross_fuzz utilizada desde hace tiempo para buscar errores en distintos navegadores web. Esta utilidad permitió hacer pública una vulnerabilidad de denegación de servicio en Internet Explorer 8 (CVE-2011-0346) [7] y que podría ser aprovechada por los atacantes para ejecutar código arbitrario y la consecuente creación de gusanos que infecten al usuario.

También la primera semana del año, Microsoft anunció a sus usuarios la aparición de una nueva vulnerabilidad 0-day, en la biblioteca intérprete de gráficos shimgvw.dll (Windows Graphics Rendering Engine) y que permitiría ejecutar código malicioso de forma remota. Dicha vulnerabilidad fue identificada como KB2490606 y CVE-2010-3970 [8] y podría ser considerada crítica ya que también se encuentra disponible públicamente.

Soluciones temporales

Debido a la cantidad de vulnerabilidades no parcheadas y la criticidad de las mismas, ya sea en ambientes hogareños o corporativos, es recomendable seguir algunas o varias de las siguientes recomendaciones para prevenir y mitigar ataques que las aprovechen y siempre utilizar un antivirus con capacidades proactivas como ESET NOD32, capaz de detectar y bloquear todos los exploits creados.

·         Cuando sea posible, es recomendable evitar el uso de las herramientas con vulnerabilidades, como puede ser el caso de IIS si no se cuenta con un sitio web o del editor de páginas de fax

·         Utilizar la protección Data Execution Prevention (DEP) para Internet Explorer 7 o superior. Esta protección bloquea ciertos códigos dañinos y ciertos tipos de ataques como puede ser los buffer overflow, presentes en varias de las vulnerabilidades mencionadas

  • Si es posible leer correos en modo texto, para evitar el uso excesivo de código HTML y CSS
  • Fijar las zonas de Intranet e Internet en modo de seguridad "Alto" para bloquear los controles ActiveX y el Active Scripting en esas zonas, de modo de bloquear la ejecución de código dañino
  • De otra forma, si es posible, utilizar un navegador alternativo, incluso Internet Explorer 9, que no es vulnerable o ejecutar el navegador en un entorno virtual como sandboxie [9] que es una herramienta gratuita para tal fin
  • Utilizar la herramienta gratuita de Microsoft Enhanced Mitigation Experience Toolkit v2.0 (EMET) [10] que permite configurar de manera amigable controles adicionales a ciertas aplicaciones y ayuda a evitar que las vulnerabilidades puedan ser explotadas (los exploit no funcionarán)

[1] resumen de Actualizaciones de Enero de 2011

http://www.microsoft.com/spain/technet/security/bulletin/ms11-jan.mspx

 

[2] Resumen de Microsoft sobre de vulnerabilidades no solucionadas hasta enero de 2010

http://blogs.technet.com/b/srd/archive/2011/01/07/assessing-the-risk-of-public-issues-currently-being-tracked-by-the-msrc.aspx

[3] Vulnerabilidad en exploit 0-day

http://www.prevx.com/blog/160/New-Windows-day-exploit-speaks-chinese.html

 

 [4] Vulnerabilidad en CSS

http://www.microsoft.com/technet/security/advisory/2488013.mspx

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3971 http://www.breakingpointsystems.com/community/blog/ie-vulnerability/

http://www.web2secure.com/2010/12/cve-2010-3971-microsoft-ie-css-0-day.html

[5] Vulnerabilidad en Fax Cover Page Editor (fxscover.exe)

http://www.vupen.com/english/advisories/2010/3327

 [6] Vulnerabilidad en IIS 7.5

http://blogs.technet.com/b/srd/archive/2010/12/22/assessing-an-iis-ftp-7-5-unauthenticated-denial-of-service-vulnerability.aspx
http://www.vupen.com/english/advisories/2010/3305

[7] Vulnerabilidad en Internet Explorer 8

http://cert.inteco.es/vulnDetail/Current_News/Vulnerabilities_1/detail_vulnerability/CVE-2011-0346

http://www.zdnetasia.com/researchers-verify-ie-bug-reported-by-googler-62205485.htm

http://lcamtuf.blogspot.com/2011/01/announcing-crossfuzz-potential-0-day-in.html

http://www.kb.cert.org/vuls/id/427980

http://www.vupen.com/english/advisories/2011/0026

[8] Vulnerabilidad en el intérprete gráfico de Windows

http://support.microsoft.com/kb/2490606

http://www.microsoft.com/technet/security/advisory/2490606.mspx

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3970

http://blogs.eset-la.com/laboratorio/2011/01/10/nueva-vulnerabilidad-critica-en-windows/

[9] Herramienta Sandboxie (gratuito)

http://www.sandboxie.com/

[10] Herramienta EMET (gratuito)

http://support.microsoft.com/kb/2458544

 

| |