[04/12/2013] Los atacantes están explotando una nueva vulnerabilidad aún no parchada en Windows XP y Windows Server 2003 que les permite ejecutar código con privilegios mayores a aquellos a los que tienen acceso.
La vulnerabilidad se encuentra localizada en NDProxy.sys, un driver proporcionado por el sistema que hace de interfase entre los WAN miniport drivers, call managers y miniport call managers y los servicios Telephony Application Programming Interfaces (TAPI)”.
“Un atacante que ha explotado con éxito esta vulnerabilidad puede correr código arbitrario en modo kernel”, indicó Microsoft en un
consejo de seguridad. “Un atacante podría luego instalar programas, ver, cambiar o borrar datos; o crear nuevas cuentas con derechos completos de administrador”.
Esta es una vulnerabilidad de incremento de privilegios (elevation-of-privilege vulnerability, EoP vulnerability), no una ejecución remota de código, lo cual significa que los atacantes necesitan tener acceso a una cuenta con pocos privilegios en el sistema para poder explotarla.
De acuerdo a Microsoft, esta vulnerabilidad ya está siendo explotada en “ataques dirigidos y limitados”, y no afecta a las versiones de Windows superiores a Windows XP y Windows Server 2003.
La compañía proporcionó una
salida temporal que implica deshabilitar NDProxy.sys, y que causa que ciertos servicios que dependen de las TAPI -como el Remote Access Service (RAS),
dial-up networking y
virtual private networking (VPN)- ya no funcionen.
Microsoft reconoció que el proveedor de soluciones de seguridad FireEye está ayudándole a investigar la nueva vulnerabilidad, que ha sido registrada como CVE-2013-5065.
Esta vulnerabilidad EoP está siendo explotada en ataque que se producen en conjunto con ejecuciones remotas de código en las versiones antiguas de Adobe Reader que fue
parchado en mayo, sostuvieron Xiaobo Chen y Dan Caselden, investigadores de seguridad de FireEye en un
post. El
exploit apunta a computadoras que corren Adobe Reader en Windows XP con Service Pack 3, pero los usuarios que tienen las versiones más recientes de Adobe Reader deberían estar protegidos, afirmaron los investigadores.
De acuerdo a los investigadores de FireEye, si el exploit tiene éxito, se instala en el directorio temporal de Windows un archivo que luego se ejecuta.
El exploit es utilizado en ataques dirigidos, pero los investigadores de FireEye aún se encuentran investigando el método utilizado para distribuirlo y la identidad de los objetivos. El exploit instala malware que se conecta y comunica con algunos sitios hackeados, sostuvo la empresa en un correo electrónico. Sin embargo, aún quedan por determinar otros detalles como para qué acciones ha sido diseñado el malware.
Lucian Constantin, IDG News Service