Avalancha de parches para la vulnerabilidad en ficheros ANI
McAfee dio a conocer el pasado día 28 de marzo una grave vulnerabilidad
en Microsoft Windows que permitía a atacantes ejecutar código de forma
totalmente silenciosa. Poco después, se hacía público un exploit y los
acontecimientos se han precipitado. Hasta tres parches no oficiales se
han publicado y el oficial de Microsoft se adelanta para salir el día 3
de abril, rompiendo su ciclo habitual de los segundos martes de cada
mes.
Microsoft confirmaba la existencia de la vulnerabilidad el día 31 de
marzo. Se trata de un fallo en el tratamiento de archivos ANI que afecta
a casi todas las versiones recientes de Windows: 2000 SP4, XP SP2, XP 64
bits, Server 2003, Server 2003 64 bits y Vista. El problema se basaba en
una vulnerabilidad ya conocida y solventada (al parecer no del todo),
calificada con el boletín MS05-002 por Microsoft y descubierta
inicialmente por eEye.
El ataque se llevaría a cabo a través de documentos HTML, imágenes JPG,
o ficheros ANI propiamente que referenciasen a un archivo ANI
especialmente construido. Al ser cargado por el navegador, ejecutaría de
forma silenciosa código arbitrario en el sistema afectado. Los usuarios
de Internet Explorer 7 en Windows Vista no se verán afectados debido al
modo protegido de IE7. Tampoco prosperarían ataques a través de
Microsoft Outlook 2007.
eEye publican el mismo día 28 un parche no oficial. Esta primera
aproximación no ataca realmente a la vulnerabilidad. Simplemente evita
que los cursores animados se carguen fuera del directorio de sistema.
Así, las páginas que intentaran aprovecharse de esto no podrían ejecutar
sus cursores, pero un exploit especialmente preparado podría eludir este
parche. Poco después, la organización ZERT publica una nueva
actualización no oficial que sí ataca de raíz el fallo, evitando que
cualquier exploit funcione y finalmente ejecute código arbitrario.
Cuestión de horas después, Microsoft anuncia oficialmente que sacará el
día 3 de abril un parche fuera del ciclo habitual de los segundos martes
de cada mes. En su propio blog, indica por qué tanta "velocidad" en su
actuación, cosa que seguro "se estará preguntando la gente". Explica que
los ataques se han incrementado durante el fin de semana, que existe
exploit público y que en realidad, estaban investigando el fallo desde
finales de diciembre de 2006. De hecho, pensaban sacar el parche para
este problema el día 10 de abril, en su ciclo habitual, pero dadas las
circunstancias se adelanta una semana.
Por último, en lo que se ha convertido en una verdadera avalancha de
soluciones, una tercera entidad privada saca un nuevo parche de
emergencia que se engancha a la API vulnerable protegiéndola. Se trata
de X-Solve, una compañía de Taipei (Taiwán) que entra por primera vez en
escena en el campo de los parches no oficiales.
Los parches no oficiales están de moda, y no es nada nuevo. Simplemente,
cabe recordar lo que ya escribíamos en este mismo espacio hace justo un
año: "Es posible que nos hallemos ante una nueva tendencia en la que
compañías y empresas de seguridad se adelantan a la propia Microsoft con
la intención de obtener reconocimiento, prestigio, visitas y
popularidad. Al margen de la eficacia de estos parches y de la libre
decisión de usarlos o no, lo indudable es que estas maniobras estimulan
a Microsoft de forma indirecta para la publicación de un parche oficial
y provocan una importante presión mediática en la compañía, en cuya
política de publicación de seguridad prima la calidad (dedican mucho más
tiempo a pruebas que al desarrollo) antes que la velocidad de
publicación."
Más información:
An Emergent Patch for Windows Vulnerability
http://x-solve.com/blog/?p=125
Latest on security update for Microsoft Security Advisory 935423
http://blogs.technet.com/msrc/archive/2007/04/01/latest-on-security-update-for-microsoft-security-advisory-935423.aspx
ZERT Patches ANI 0day
http://blogs.securiteam.com/index.php/archives/863
http://zert.isotf.org/advisories/zert-2007-01.htm
Windows .ANI Processing
http://research.eeye.com/html/alerts/zeroday/20070328.html
Sergio de los Santos
[email protected]
Fuente: http://www.hispasec.com/unaaldia/3082/
en Microsoft Windows que permitía a atacantes ejecutar código de forma
totalmente silenciosa. Poco después, se hacía público un exploit y los
acontecimientos se han precipitado. Hasta tres parches no oficiales se
han publicado y el oficial de Microsoft se adelanta para salir el día 3
de abril, rompiendo su ciclo habitual de los segundos martes de cada
mes.
Microsoft confirmaba la existencia de la vulnerabilidad el día 31 de
marzo. Se trata de un fallo en el tratamiento de archivos ANI que afecta
a casi todas las versiones recientes de Windows: 2000 SP4, XP SP2, XP 64
bits, Server 2003, Server 2003 64 bits y Vista. El problema se basaba en
una vulnerabilidad ya conocida y solventada (al parecer no del todo),
calificada con el boletín MS05-002 por Microsoft y descubierta
inicialmente por eEye.
El ataque se llevaría a cabo a través de documentos HTML, imágenes JPG,
o ficheros ANI propiamente que referenciasen a un archivo ANI
especialmente construido. Al ser cargado por el navegador, ejecutaría de
forma silenciosa código arbitrario en el sistema afectado. Los usuarios
de Internet Explorer 7 en Windows Vista no se verán afectados debido al
modo protegido de IE7. Tampoco prosperarían ataques a través de
Microsoft Outlook 2007.
eEye publican el mismo día 28 un parche no oficial. Esta primera
aproximación no ataca realmente a la vulnerabilidad. Simplemente evita
que los cursores animados se carguen fuera del directorio de sistema.
Así, las páginas que intentaran aprovecharse de esto no podrían ejecutar
sus cursores, pero un exploit especialmente preparado podría eludir este
parche. Poco después, la organización ZERT publica una nueva
actualización no oficial que sí ataca de raíz el fallo, evitando que
cualquier exploit funcione y finalmente ejecute código arbitrario.
Cuestión de horas después, Microsoft anuncia oficialmente que sacará el
día 3 de abril un parche fuera del ciclo habitual de los segundos martes
de cada mes. En su propio blog, indica por qué tanta "velocidad" en su
actuación, cosa que seguro "se estará preguntando la gente". Explica que
los ataques se han incrementado durante el fin de semana, que existe
exploit público y que en realidad, estaban investigando el fallo desde
finales de diciembre de 2006. De hecho, pensaban sacar el parche para
este problema el día 10 de abril, en su ciclo habitual, pero dadas las
circunstancias se adelanta una semana.
Por último, en lo que se ha convertido en una verdadera avalancha de
soluciones, una tercera entidad privada saca un nuevo parche de
emergencia que se engancha a la API vulnerable protegiéndola. Se trata
de X-Solve, una compañía de Taipei (Taiwán) que entra por primera vez en
escena en el campo de los parches no oficiales.
Los parches no oficiales están de moda, y no es nada nuevo. Simplemente,
cabe recordar lo que ya escribíamos en este mismo espacio hace justo un
año: "Es posible que nos hallemos ante una nueva tendencia en la que
compañías y empresas de seguridad se adelantan a la propia Microsoft con
la intención de obtener reconocimiento, prestigio, visitas y
popularidad. Al margen de la eficacia de estos parches y de la libre
decisión de usarlos o no, lo indudable es que estas maniobras estimulan
a Microsoft de forma indirecta para la publicación de un parche oficial
y provocan una importante presión mediática en la compañía, en cuya
política de publicación de seguridad prima la calidad (dedican mucho más
tiempo a pruebas que al desarrollo) antes que la velocidad de
publicación."
Más información:
An Emergent Patch for Windows Vulnerability
http://x-solve.com/blog/?p=125
Latest on security update for Microsoft Security Advisory 935423
http://blogs.technet.com/msrc/archive/2007/04/01/latest-on-security-update-for-microsoft-security-advisory-935423.aspx
ZERT Patches ANI 0day
http://blogs.securiteam.com/index.php/archives/863
http://zert.isotf.org/advisories/zert-2007-01.htm
Windows .ANI Processing
http://research.eeye.com/html/alerts/zeroday/20070328.html
Sergio de los Santos
[email protected]
Fuente: http://www.hispasec.com/unaaldia/3082/
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!