Llegamos a ustedes gracias a:



Noticias

Microsoft confirma nuevo bug de día cero en Windows

[05/01/2011] Microsoft confirmó la existencia de una vulnerabilidad no parchada en Windows tan solo unas horas después de que un grupo de hacking publicara un exploit del bug.

Ya se está construyendo un parche, pero Microsoft no planea emitir alarma alguna o una actualización out of band, para reparar la falla.
Sobre el bug se discutió por primera vez el 15 de diciembre en una conferencia de seguridad en Corea del Sur, pero captó más la atención el martes cuando la herramienta de penetración de código abierto Metasploit publicó un módulo de explotación confeccionado por el investigador Joshua Drake.
De acuerdo a Metasploit, si se tiene éxito en el ataque se podría comprometer a las PC victimas, luego introducir malware a las máquinas para obtener su información o hacerlas parte de una botnet criminal.
La vulnerabilidad se encuentra en el motor de rendering de gráficos de Windows, el cual manejas de forma inadecuada las imágenes thumbnail, y puede activarse cuando un usuario ve una carpeta que contiene un thumbnail especialmente confeccionado con el administrador de archivos de Windows, o abre o ve algunos documentos de Office.
Microsoft reconoció el bug en una sesión sobre seguridad, y señaló que Windows XP, Vista, Server 2003 y Server 2008 son vulnerables. Los sistemas operativos más recientes, Windows 7 y Server 2008 R2, no lo son.
Los atacantes pueden enviar a los usuarios documentos PowerPoint o Word maliciosos que contienen un thumbnail deformado, luego pueden explotar sus PC si el documento es abierto o incluso previsto, señaló Microsoft. Los hackers también pueden secuestrar las máquinas convenciendo a los usuarios que vean un thumbnail amañado en una carpeta compartida de red o drive, o en una carpeta en línea WebDAV para compartir archivos.
Esta es una vulnerabilidad de ejecución remota de código. Un atacante que explote esta vulnerabilidad podría tener el control completo de un sistema infectado, señaló un asesor de Microsoft.
La vulnerabilidad es explotada configurando el número de los índices de color en la tabla de colores [del archivo de imagen] como un número negativo, añadió Johannes Ullrich, chief research officer del SANS Institute.
Microsoft recomendó un atajo temporal que protege a las PC contra el ataque mientras se lance un parche. El atajo, que añade más restricciones al archivo shimgvw.dll -el componente que prevé las imágenes dentro de Windows- requiere que los usuarios tipeen una cadena de caracteres en un prompt de comando. Sin embargo, al hacerlo ello implica que los archivos de media que usualmente son manejados por el Graphics Rendering Engine no se mostrarán adecuadamente, indicó Microsoft.
Aunque Microsoft ha dicho que desconoce que se haya producido algún ataque, el nuevo bug se añade a la creciente lista de vulnerabilidades no parchadas, sostuvo Andrew Storms, director de Seguridad de nCircle Security.
La presión se encuentra sobre Microsoft, indicó Storms en una entrevista por mensajería instantánea. Ello ya tienen un día cero [en Internet Explorer] más un bug en WMI Active X que Secunia advirtió [el 22 de diciembre]. Si se combinan estos problemas con un tema paralelo con respecto a cross_fuzz y ahora un bug en el manejo de imágenes, todo ello conforma un feliz año nuevo para Microsoft.
La compañía confirmó la existencia de un bug crítico en IE hace dos semanas; el domingo, el ingeniero de seguridad de Google, Michal Zalewski, sostuvo que tenía evidencia que hackers chinos estaban probando una falla diferente en el navegador de Microsoft.
Microsoft apenas y está cerrando la puerta de su más grande parche del año, y 2011 no está comenzando con buen pie, indicó Storms.
El año pasado, Microsoft tuvo un record de 106 boletines de seguridad para parchar un record de 266 vulnerabilidades.
El siguiente Martes de Parches Microsoft programado es el 11 de enero. Si la compañía mantiene su ritmo de desarrollo y evaluación, es poco probable que la próxima semana se entregue alguna solución.
Gregg Keizer, Computerworld (US)