• Tweet

La TippingPoint Zero Day Initiative, un programa donde a los investigadores se les paga por divulgar vulnerabilidades, liberaron los detalles de 25 vulnerabilidades de esta semana, incluida la información sobre cinco fallas sin parches de Microsoft Office.

ZDI es visto por muchos en la comunidad de seguridad como un activo valioso. Los investigadores que quieren ser pagados por su trabajo, pero encuentran que la presentación de informes directamente al vendedor significa poco o nada, pueden utilizar ZDI para obtener crédito y dinero en efectivo, por informar sobre fallas.

En agosto pasado, TippingPoint anunció que ellos iban a cumplir un plazo de 6 meses a los vendedores afectados por las vulnerabilidades que se les presentaron.

"Al final del plazo, si un proveedor no responde o no puede proporcionar una declaración razonable de por qué la vulnerabilidad no se ha arreglado, el ZDI publicará una asesoría limitada, incluyendo medidas de mitigación en un esfuerzo para habilitar la comunidad defensiva que proteja al usuario", explicó un blog de la compañía.

Si una solución toma tiempo, el plazo puede ser ampliado. Sin embargo, la voluntad de trabajar con los proveedores se hace caso por caso para prevenir que la política de divulgación sea aprovechada para sacar ventaja. Con base en la lista de esta semana, ZDI ha puesto en marcha su nueva política, la liberación de los informes sobre las vulnerabilidades conocidas y desconocidas.

Incluidos en los informes publicados de esta semana están los detalles sobre las vulnerabilidades de Microsoft, EMC, IBM, CA, BMC, y la compañía originaria de TippingPoint, HP. Sin embargo, teniendo en cuenta que Microsoft ha reparado tres vulnerabilidades de día cero este mes, su aparición en esta lista llama la atención.

ZDI publicó detalles de las cinco vulnerabilidades descubiertas en Microsoft Office, cuatro para Excel, y una para PowerPoint. En cada una de las vulnerabilidades de Office, atacantes remotos puedan ejecutar código en el sistema objetivo.

Listada con puntuaciones CVSS de 9 ó 10, las cuales son criticas, la interacción del usuario es necesaria para la explotación de las fallas de Office. Sin embargo, es un hecho bien sabido que los delincuentes no tienen ningún problema para evadir esta restricción, si es necesario.

Los detalles en la divulgación de ZDI son limitados. Sólo lo suficiente como para explicar los problemas sin agregar cosas que pudieran ser utilizadas para recrearlos. Al mismo tiempo, hay suficiente información para que un investigador inteligente decidido pueda experimentar.

"Estas vulnerabilidades fueron hechas públicas antes de que los parches estuvieran disponibles, ya que la advertencia había estado en manos del proveedor por más de 180 días. Estaremos atentos para ver que tan rápido reaccionan ahora los proveedores", comentó el CTO de Qualys, Wolfgang Kandek.

Teniendo en cuenta el motivo de la divulgación ZDI, los tiempos de reacción pueden ser golpeados u olvidados. Se ha buscado a Microsoft para comentar al respecto.

En un comunicado, Jerry Bryant, gerente de grupo de Microsoft, dijo:

"Somos conscientes de que Tipping Point de ZDI (Zero Day Initiative) ha optado por publicar información sobre una serie de vulnerabilidades de seguridad que afectan a varias compañías, incluyendo Microsoft. Microsoft está consciente de que ZDI eligió para revelar relativamente poca información acerca de las vulnerabilidades individuales, disminuyendo la probabilidad que los atacantes puedan utilizar la información para poner en riesgo a los clientes".

"Microsoft está consciente de las cinco vulnerabilidades descubiertas por ZDI y está trabajando para hacerles frente, como parte de nuestro ciclo regular de liberaciones de boletines de febrero. Sin embargo, durante el proceso, descubrimos los problemas que determinamos que habrían impedido el despliegue de los clientes y se optó por retirarlos para un posterior desarrollo. Ellos serán avisados en un futuro próximo con el tema de despliegue completamente solucionado."