• Tweet

Investigadores de seguridad dijeron ayer que podrían estar en desacuerdo con lo declarado por Microsoft de que la primera vulnerabilidad crítica en Windows podría ser "difícil y poco probable" de ser explotada por atacantes.

El martes, Immunity Inc. actualizó un exploit para la falla en TCP/IP descrita el 8 de enero en el Boletín de Seguridad de Microsoft MS08-001 y publicó una demostración en Flash del ataque en su sitio Web (http://immunityinc.com/documentation/ms08_001.html).

El exploit, liberado a los usuarios del software de pruebas de penetración CANVAS -- pero no disponible al público-- fue una versión revisada del primer código emitido hace dos semanas.

"Esto demuestra claramente que la vulnerabilidad en IGMPv3 documentada en el MS08-001 es altamente explotable", de acuerdo con Dave Aitel, CTO de Immunity, en un mensaje enviado a su lista de correo de seguridad Dailydave.

El reclamo de Aitel confrontó la declaración hecha anteriormente por Microsoft diciendo que "existe un número de factores que hacen la explotación de este problema dificil e improbable en condiciones reales".

Immunity reconoció sin embargo que este nuevo exploit no es confiable al 100%.

Otras compañías de seguridad reaccionaron a este nuevo código de exploit y animación de Flash emitiendo nuevas alertas. Symantec Corp. por ejemplo, envió una nueva advertencia a sus usuarios. "El exploit demuestra la ejecución remota de código", hizo notar Symantec. "El exploit trabaja contra Windows XP SP2 en su versión en Inglés, la animación muestra dos equipos Windows XP SP2 en una subred local siendo comprometidos aún y cuando tienen el firewall habilitado".

Este aviso pide recomienda a los usuarios que no han implementado las actualizaciones de Microsoft emitidas el 8 de Enero a que lo hagan inmediatamente.

Anteriormente, Aitel dijo que la vulnerabilidad en GMP (Internet Group Management Protocol) será una de las más importantes en el 2008. En un análisis detallado de la falla y su explotación, Symantec estuvo de acuerdo que la recompensa de los hackers podría ser grande al explotar esta falla.

Ataques satisactorios por el exploit de Immunity y cualquiera similar desarrollado por otros, permite que el código arbitrario se ejecute dentro del contexto del kernel de Windows, dijo Symantec.

"Este es especialmente crítico en Vista, debido a los mecanismos de kernel mejorados" dijo Symantec. "Un usuario local, aun un administrador, podría tener dificultades para introducir código sin firmar en el kernet, pero en este caso, esto puede ser realizado de forma remota sin ningún tipo de autenticación.

"Esta vulnerabilidad presenta una oportunidad para no solo ejecutar código arbitrario en el sistema, sino también para instalar puertas traseras y otras herramientas maliciosas como rootkits".

En el Boletín de Seguridad MS08-001, Microsoft clasificó la falla IGMP como "Crítica" para Windows XP SP2, Windows Vista, Windows Small Business Server y Windows Home Server. Otras versiones incluyendo Windows Server 2003, la vulnerabilidad fue clasificada como "Importante"