El pasado día 11, hackers rusos hacían público en su página un exploit universal (válido para todas las versiones
de Windows independientemente del Service Pack instalado) que funcionaba aun en sistemas supuestamente
actualizados con los últimos parches que Microsoft ha publicado para esa vulnerabilidad, descubierta el 16 de
Julio en el RPC (Remote Procedure Call) de prácticamente todos los sistemas Windows, y razón de ser del
omnipresente virus MSBlaster. RPC es un protocolo que proporciona a Windows un mecanismo de
comunicación entre procesos para que un programa que se está ejecutando en un equipo pueda ejecutar
también código en un sistema remoto. La facilidad para explotar este problema y conseguir ejecutar código
arbitrario en la víctima ya estaba reportando suculentos beneficios a los hackers maliciosos que buscaban
potenciales víctimas en el IRC desde finales de julio, cuando se hizo público el exploit. Aprovecharse del
problema a mano conociendo la IP de la víctima resultaba trivial. A partir de ahí, surgieron muchas variantes
del exploit, que hacían incluso más fácil poder ejecutar código en sistemas ajenos sin necesidad de poseer
demasiados conocimientos.
Poco después de la aparición del parche que solventaba la vulnerabilidad, se volvió a descubrir otro fallo en el mismo servicio RPC DCOM tan peligroso como el primero, que permitió a otras variantes del virus expandirse de forma muy parecida, aunque las víctimas hubiesen parcheado su sistema con la primera actualización. Para colmo, se vuelve a descubrir una nueva versión del exploit que por ahora, sólo permite realizar un ataque DoS.
Microsoft ha programado parches ineficaces muchas veces, pero no hay que remontarse muy atrás en el tiempo para encontrar un buen ejemplo. Hace sólo unos meses, se alertaba sobre la gravedad de la vulnerabilidad en la etiqueta OBJECT. Construyendo una página especialmente manipulada, se podía ejecutar código o descargar programas en los sistemas de los que visitaran la página con el navegador Internet Explorer. La página manipulada podía ser creada de tres formas distintas: Con HTML estático, a través de un script o enlazando con XML. El parche acumulativo con el que Microsoft pretendía solucionar el fallo, demostró ser ineficaz, pues sólo remediaba el error en el caso en que la página estuviese creada con HTML estático, y dejaba el campo abierto para que el fallo pudiese ser explotado de otras maneras igual de sencillas. Pasó casi un mes hasta que Microsoft hizo público el enésimo parche acumulativo (con el código 828750) que permitía solventar los errores que ellos mismos cometieron además de tapar otros agujeros. Aun así, muchos expertos alertan de que a Internet Explorer le queda muchos agujeros por tapar (algunos afirman que hasta 37).
El caso de la etiqueta OBJECT resulta especialmente crítico, puesto que Microsoft ha tropezado dos veces con la misma piedra. En Febrero de 2002, Greymagic advertía de una vulnerabilidad casi gemela que permitía la ejecución de código gracias a la dichosa etiqueta. Microsoft volvió a olvidar que las llamadas a esta etiqueta pueden realizarse de varias formas, y programó un parche ineficaz, que creaba una sensación de falsa seguridad al que hubiese actualizado su navegador, pues seguía siendo vulnerable si se topaba con páginas creadas con un poco más de imaginación.
Más información y referencias:
CERT:
http://www.cert.org/incident_notes/IN-2003-04.html
Boletines de Microsoft:
http://www.microsoft.com/security/security_bulletins/MS03-026.asp
http://www.microsoft.com/technet/secu rity/bulletin/MS03-032.asp
Windows XP continúa siendo vulnerable al fallo RPC/DCOM
http://www.vsantivirus.com/10-10-03a.htm
Sergio de los Santos
www.forzis.com
Poco después de la aparición del parche que solventaba la vulnerabilidad, se volvió a descubrir otro fallo en el mismo servicio RPC DCOM tan peligroso como el primero, que permitió a otras variantes del virus expandirse de forma muy parecida, aunque las víctimas hubiesen parcheado su sistema con la primera actualización. Para colmo, se vuelve a descubrir una nueva versión del exploit que por ahora, sólo permite realizar un ataque DoS.
Microsoft ha programado parches ineficaces muchas veces, pero no hay que remontarse muy atrás en el tiempo para encontrar un buen ejemplo. Hace sólo unos meses, se alertaba sobre la gravedad de la vulnerabilidad en la etiqueta OBJECT. Construyendo una página especialmente manipulada, se podía ejecutar código o descargar programas en los sistemas de los que visitaran la página con el navegador Internet Explorer. La página manipulada podía ser creada de tres formas distintas: Con HTML estático, a través de un script o enlazando con XML. El parche acumulativo con el que Microsoft pretendía solucionar el fallo, demostró ser ineficaz, pues sólo remediaba el error en el caso en que la página estuviese creada con HTML estático, y dejaba el campo abierto para que el fallo pudiese ser explotado de otras maneras igual de sencillas. Pasó casi un mes hasta que Microsoft hizo público el enésimo parche acumulativo (con el código 828750) que permitía solventar los errores que ellos mismos cometieron además de tapar otros agujeros. Aun así, muchos expertos alertan de que a Internet Explorer le queda muchos agujeros por tapar (algunos afirman que hasta 37).
El caso de la etiqueta OBJECT resulta especialmente crítico, puesto que Microsoft ha tropezado dos veces con la misma piedra. En Febrero de 2002, Greymagic advertía de una vulnerabilidad casi gemela que permitía la ejecución de código gracias a la dichosa etiqueta. Microsoft volvió a olvidar que las llamadas a esta etiqueta pueden realizarse de varias formas, y programó un parche ineficaz, que creaba una sensación de falsa seguridad al que hubiese actualizado su navegador, pues seguía siendo vulnerable si se topaba con páginas creadas con un poco más de imaginación.
Más información y referencias:
CERT:
http://www.cert.org/incident_notes/IN-2003-04.html
Boletines de Microsoft:
http://www.microsoft.com/security/security_bulletins/MS03-026.asp
http://www.microsoft.com/technet/secu rity/bulletin/MS03-032.asp
Windows XP continúa siendo vulnerable al fallo RPC/DCOM
http://www.vsantivirus.com/10-10-03a.htm
Sergio de los Santos
www.forzis.com