• Tweet

Microsoft ha publicado seis boletines de seguridad para Windows, la mitad de ellos de vulnerabilidades críticas; y la mayoría de ellos con problemas de gusanos, que pueden ser explotadas remotamente.

"Ésto es una tendencia interesante", dijo Mike Murray, director de investigación y jefe de vulnerabilidades en el proveedor nCircle. "El mes pasado dije que habíamos observado vulnerabilidades que se podían explotar, del lado del servidor; y ahora, en éste mes, cinco de los seis (boletines) no requieren ninguna interacción del usuario (para ser explotadas)".

Incluso así, Murray no esparaba que las listas de discusión de agosto condujeran a un gusano importante del nivel de Slammer o MSBlast. "No veo eso aquí".

"EL nivel total de la amenaza de seguridad, hoy en día, es desconocido en éste momento, -- nosotros hemos tenido solamente 45 minutos para observarla -- así que pienso que bajará, para que sea más fácil de explotar".

Murray y otro analista, Neel Metha, lider del equipo para el grupo de investigación X-Force de Internet Security System (ISS); obtuvieron información de dos de los tres boletines de seguridad crítica, como problemas de parches, especialmente para los usuarios ejecutando Windows 2000 en PC's de escritorio o en servidores.

Uno de los dos boletines, de los que tuvieron información; el MS05-039, cierra un hueco en la tecnología plug and play de Windows, que automáticamente reconoce nuevo hardware e instala lo drivers apropiados.

Windows 2000 es el de mayor riesgo aquí -- un usuario anónimo puede simplemente enviar un mensaje especialmente construido por él, para tomar el control completo de una PC vulnerable -- pero los ataques también pueden ser hechos contra máquinas con Windows XP y Windows Server 2003.

Metha fue el primer investigador que reportó el problema de plug and play a Microsoft en marzo. "Todavía pieno que es el más serio y el más fácil de explotar", añadió, "porque es una vulnerabilidad de desbordamiento basada en la pila. Nosotros estamos muy preocupados de que ésto podría ser explotado como parte de un gusano".

"Los usuarios de Windows 2000 están realmente en riesgo, y deben parcharlo inmediatamente", dijo Metha.

El otro boletin destacado por Metha y Murray fue el MS05-043, que persuade una vulnerabilidad en el spooler de impresión de Windows 2000, Windows XP y Windows 2003 Server. El defecto puede ser usado por un atacante para tomar el control completo del sistema. Como en el boletin MS05-039; éste problem afecta algunas versiones de sistemas operativos más que otras: Microsoft identificó a Windows 2000 y Windows XP SP1 como los más riesgosos.

Esos dos sistemas operativos pueden ser atacados por un usuario anónimo simplemente enviando a la máquina un mensaje diseñado especialmente; Windows XP SP2 y Windows Server 2003 pueden ser similarmente atacados, pero solamente por usuarios autenticados. Si los usuarios no pueden parchar sus sistemas, Microsoft aconsejó deshabilitar el spooler de impresión. Eso, sin embargo, tiene el efecto secundario de impedir la impresión localmente o a una impresora de la red.

"Pondría una severidad igual en ambos (039 y 043)", dijo Murray. "Las vulnerabilidades de desbordamiento basadas en heap como las que están en el spooler de impresión son muy bien conocidas por los hackers", añadió.

Metha y Murray también estaban deacuerdo en el boletín critico final, MS05-038, que fue otra actualización al problema ligado al browser del Internet Explorer de la compañía. Ambos sacaron una de las tres vulnerabilidades en ese boletín como particularmente importante a parchar.

Internet Explorer puede ser atacado por medio de un archivo malformado de imagen JPG, atrayendo a los usuarios a sitios Web maliciosos o enviándoles imágenes malformadas como archivos adjuntos en el correo electrónico, consiguiendo que abran los archivos.

Esta no es la primera vez que Internet Explorer, u otros browsers en ésta materia, se han etiquetado con vulnerabilidades en el proceso de imágenes. Cada analista ofreció un forma diferente de porqué usarlas.

"Los archivos de imágenes son increíblemente complejos", dijo Metha.

"Los desarrolladores no están escribiendo los browsers con las seguridad en la mente. Ellos están escribiendo el software funcional para los propósitos de funcionalidad, pero no están considerando la seguridad".

La seguridad del browser está en un punto en donde estaba hace tres años la seguridad del software del servidor Web, agregó Murray. En otras palabras, sombría. "Ahora usted no observa tantas vulnerabilidades en los servidores Web; quizá en el futuro podamos decir lo mismo sobre los browsers".

"Pienso que ésto es justamente una cuestión de dejar todo el código malo fuera, encontrando las vulnerabilidades, y parchándolas," dijo Murray.

De los tres boletines nuevos restantes publicados ésta semana, una es etiquetada como importante, las otras solamente como moderadas, el grado más bajo en el sistema four-step de Microsoft.

El más significativo del trio es MS05-041, porque resuelve el problema en el módulo Remote Desktop en Windows. Que el problema se haya publicado enormemente en la prensa y entre los investigadores de la seguridad, en parte fue porque se conocía justo después de que el paquete de parches de Julio fueran liberados. Amediados de Julio, Microsoft publicó uno de sus boletines raros de seguridad, que condujeron a la mayoría de los analistas a figurar un parche.

Microsoft continuó quitando importancia al problema, diciendo que los exploits solamente podrían dar resultado en un ataque de negación de servicio (DoS) en la PC objetivo, no abriéndola para un ataque adicional ni daría el control al hacker. Previamente, algunos analistas de seguridad no estaban seguros si el problema tenía el potencial de crear un desbordamiento del buffer, un prerequisito previo para los tipos más peligrosos de ataques. En la publicación del boletín del martes, sin embargo, esos expertos, teniendo más tiempo para analizar el problema, confirmaron las declaraciones de Microsoft.

"No tiene ningún potencial para el desbordamiento del buffer", dijo Metha.

Microsoft también liberó los boletines que se ocupaban de los problemas en el servicio de Telephony Application Programming Interface y los protocolos de Kerberos y PKNIT. También volvieron a liberar las versiones actualizadas de dos boletines anteriores, MS05-023 y MS05-032, liberadas en Abril y Junio de éste año, respectivamente.

Los parches de Agosto pueden ser descargados usando el servicio de Microsoft Update, o desde el sitio Web de seguridad principal.