Llegamos a ustedes gracias a:



Noticias

Se descubren otros tres fallas tipo “día-cero” en productos Microsoft

[07/07/2010] Microsoft enfrenta una tormenta de vulnerabilidades del tipo día-cero que se han encontrado en sus programas más importantes, de acuerdo a la reciente publicación de fallas sin parchar en productos como Windows XP, Internet Explorer y su producto de bandera el Servidor Web IIS.

Las vulnerabilidades fueron publicadas por un grupo de investigadores que se hacen llamar a sí mismos como el Colectivo de Investigación Rechazado por Microsoft (MSRC), equipo que ha notificado a Microsoft de al menos tres fallas en las últimas semanas.
El jueves pasado, el investigador Soroush Dalili publicó información acerca de una vulnerabilidad en Internet Information Services (IIS), el software de Servidores Web de Microsoft. De acuerdo a Dalili, quien trabaja como un analista de seguridad en la industria de juegos y casinos, se puede saltar la seguridad en versiones antiguas de IIS, dandole ventaja a los atacantes que desean tomar por asalto los servidores web de algunas empresas. La falla puede ser explotada en IIS 5.1, pero no en los nuevos IIS 6, IIS 7 o IIS 7.5, señaló Dalili.
Microsoft indicó que estaba investigando la vulnerabilidad, pero minimizaron el anuncio de la vulnerabilidad. IIS no está instalado por defecto y los usuarios tienen que cambiar la configuración establecidad para hacerse vulnerables señaló hoy en un email Jerry Bryant, gerente del Microsoft Security Response Center.
El portal de seguridad Secunia calificó las vulnerabilidades como moderadamente crítico en el rango intermedio de su escala de cinco pasos.
A principio de la semana pasada Ruben Santamarta, un investigador de la firma de seguridad Wintercore, reveló información y publicó código que permitía el ataque de Internet Explorer 8 al ejecutarlo sobre Windows 7, Vista o Windows XP. Santamarta señaló que la falla podía ser utilizada para saltar el sistema de prevención de ejecución de datos (DEP) y el Address Space Layout Randomization (ASLR), un sistema encargado de hacer aleatoria la memoria RAM, ambos sistemas de seguridad insertados en Windows.
Las técnicas para burlar el DEP y el ASLR no son cosa nueva. A finales de marzo, el investigador danés Peter Vreugdenhil logró explotar una vulnerabilidad en Internet Explorer 8 sobre Windows 7, con código que evadía el DEP y ASLR para ganar 10 mil dólares en el cuarto concurso annual Pwn3Own.
Microsoft también minimizó las declaraciones de Santamarta indicando que DEP y ASLR podrían ser burlados, algo que no sorprende, considerando que hizo lo mismo al declarar sobre comentarios sobre la capacidad de saltar esas defensas.
No es un procedimiento simple burlar el ASLR porque solo funciona bajo determinadas condiciones, señaló Bryant un atacante debe utilizarlo en conjunto con una vulnerabilidad no parchada, de forma que puedan explotar un sistema. En el mismo correo electrónico Bryant se negó a etiquetar la falla como una vulnerabilidad de seguridad, esta no es una vulnerabilidad, sino una técnica de mitigación para evitar que burlen el sistema, señaló.
El mes pasado, alguien identificado solo como "fl0 fl0w" publicó nuevo código para explotar una importante librería de código utilizada para desarrollar software de terceros mediante Microsoft Visual Studio. 

El error en Microsoft Foundation Classes (MFC), un conjunto de librerías de programación que permite a los desarrolladores acceder al API de Windows (interfases de programación de aplicaciones) cuando se trabaja en C++, puede ser explotado a través de algún software de terceras partes escrito con Visual Studio. fl0 fl0w señaló que su código de ataque puede comprometer una PC con Windows mediante PowerZip, una utilidad de compresión de archivos bajo precio. 

Microsoft dijo que su investigación preliminar mostró que solo Windows 2000 y Windows XP eran vulnerables a ataques MFC estamos investigando los informes... [y] se actualizará cuando tengamos más información", señaló la empresa a través de su cuenta oficial dedicada a la seguridad este lunes.
Los cuatro nuevos reportes de vulnerabilidades día cero no son los únicos dolores de cabeza para los ingenieros de seguridad de Microsoft: Todavía no han parchado la falla crítica de Windows que Tavis Ormandy publicó el mes pasado después de que Microsoft no cumpliera con sus fechas límite para la publicación de parches. 

Ormandy, quien trabaja para el equipo de seguridad de Google, ha estado en el centro de un debate entre los investigadores sobre su decisión de hacerlo público. El colectivo MSRC se formó como una reacción a que Microsoft vinculó explícitamente a Ormandy y su empleador. 

Su vulnerabilidad ha sido explotada activamente por los hackers desde el 15 de junio. 
El próximo martes de publicación de parches regulares para Microsoft es el 13 de julio. La empresa no ha mencionado si publicará un parche para la vulnerabilidad revelada por Ormandy, pero basado en la experiencia pasada, es muy poco probable que Microsoft pueda generar y probar parches para que sean publicados a tiempo la próxima semana.
Keizer Gregg, Computerworld (US)