Código liberado explota una falla reportada hace seis meses
No está claro si Microsoft intenta solucionar la falla la semana próxima.
El jueves, Microsoft actualizó un documento informativo sobre seguridad que publicó por primera vez el 19 de abril pasado sobre una falla en Windows XP, Vista, Server 2003 y Server 2008 que podría ser explotada para conseguir privilegios adicionales en las máquinas vulnerables.
"Se ha publicado en Internet el código de explotación que aprovecha la vulnerabilidad descripta en este documento informativo," confirmó Bill Sisk, un director de comunicaciones del Centro de Respuestas de Seguridad de Microsoft, en una publicacion del blog MSRC.
La vulnerabilidad tiene una historia retorcida.
A finales de marzo, el investigador de seguridad Argentino Cesar Cerrudo anunció que había encontrado una falla que le permitiría a los atacantes eludir algunos esquemas de seguridad de las versiones más nuevas del sistema operativo, incluyendo a Windows 2008. En ese momento Sisk llamó a la falla encontrada por Cerrudo "falla de diseño" más que una vulnerabilidad, y minimizó la amenaza.
Sólo después que Cerrudo presentó en abril sus hallazgos en una conferencia de seguridad en los Emiratos Arabes Unidos, Microsoft cambió de parecer y denominó a la falla 'un problema de seguridad'.
El miércoles, Cerrudo publicó un código de explotación como prueba de concepto (PoC) para la vulnerabilidad de hace seis meses. "Ha pasado un largo tiempo desde que mi presentación [en abril] fue publicada, así que decidí realizar una código de explotación como PoC para Windows Server 2003 que permite ejecutar código bajo la cuenta de SISTEMA," dijo Cerrudo en su descripción de su 'exploit' en milw0rm.com.
"Básicamente, si uno corre código bajo cualquier servicio en Windows Server 2003, entonces uno puede apoderarse de Windows," agregó. "Así, si uno corre código desde una aplicación Web ASP .Net o una clásica ASP, entonces puede apoderarse también de Windows."
Microsoft aún tiene que publicar un arreglo para la falla; desde abril única acción fue recomendar rodeos (workarounds) a los clientes que utilizan IIS, Internet Information Services.
No solo Microsoft no ha reparado el problema, sino que ayer continuó siendo evasivo sobre la reparación. "Microsoft tomará las acciones apropiadas para proteger a nuestros clientes, lo cual puede incluir una solución mediante un 'service pack', nuestro procesos de liberación de actualizaciones mensual, o una actualización de seguridad fuera del ciclo, dependiendo de las necesidades del cliente," dice el boletín en su acostumbrado lenguaje.
Sisk tampoco promete una arreglo en su blog. "Continuaremos observando la situación y publicaremos actualizaciones al boletín y el blog MSRC a medida que tomemos conocimiento de cualquier nueva información importante," dijo ayer.
También el jueves, Microsoft publicó su boletín pre-parches mensual que describe lo que será arreglado la semana que viene. Aunque seis de las 11 actualizaciones esperadas afectan a Windows, y dos de esas seis a ediciones de las mencionadas en el boletín de abril, Microsoft no provee detalle suficiente previo para determinar si alguno de los parches reparará la falla de elevación de privilegios.
Ambas actualizaciones potenciales fueron etiquetadas como "importante", segunda categoría de importancia que usa Microsoft para calificar; la compañía califica típicamente como "importante" a las vulnerabilidades de elevación de privilegios.
Microsoft liberará las actualizaciones de seguridad de octubre el próximo martes aproximadamente a la 1 p.m. EST.
Traducido para el Blog de Segu-Info por Raúl Batista
Autor: Gregg Keizer
Fuente: http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9116924
http://www.microsoft.com/latam/technet/seguridad/alerta/951306.mspx
http://www.microsoft.com/technet/security/advisory/951306.mspx
http://blogs.technet.com/msrc/archive/2008/10/09/update-1-microsoft-security-advisory-951306.aspx
http://www.milw0rm.com/exploits/6705
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!