17 mar. 2010

Falla en Microsoft Virtual PC permite a hackers eludir las defensas de Windows

Un autor de exploits de Core Security Technologies ha descubierto una seria vulnerabilidad que expone a los usuarios del software de virtualización Microsoft Virtual PC a los ataques de hackers maliciosos.

La vulnerabilidad, la cual no tiene parche, esencialmente permite a un atacante eludir varias de la principales mitigaciones de seguridad -- Data Execution Prevention (DEP), Safe Exception Handlers (SafeSEH) y Address Space Layout Randomization (ASLR) -- para explotar el sistema operativo Windows.

Como resultado, algunas aplicaciones con fallas que no son explotables cuando corren en un sistema operativo no-virtualizado se vuelven explotables su corren dentro de un SO huésped en Virtual PC, según Ivan Arce, Jefe de Tecnología de Core.

La falla, descubierta por el escritor de exploits Nicolás Economou, existe en el administrador de memoria del Monitor de Máquina Virtual. Provoca que las páginas de memoria por encima del nivel de 2GB sean accedidas con privilegios de lectura o lectura/escritura por los programas en espacio de usuario en un sistema operativo huésped.

El software afectado incluye Microsoft Virtual PC 2007, Virtual PC 2007 SP1, Windows Virtual PC y Microsoft Virtual Server 2005. En Windows 7 la característica del modo XP también es afectado por la vulnerabilidad.

En particular, una aplicación vulnerable corriendo en Modo Windows XP en Windows 7 puede ser explotable en un ambiente virtual, en tanto la misma aplicación corriendo directamente en un sistema operativo Windows XP SP3 no.

La tecnología Microsoft HyperV no es afectada por este problema.

Arce dijo que Core informó la falla a Microsoft el pasado mes de agosto - hace más de de siete meses - pero después de discusiones de ida y vuelta, la compañía decidió que no liberaría un boletín de seguridad para proveer parches.

"Ellos [Microsoft] dijeron que coincidían con nuestro relevamiento del problema, que hace eludibles a  DEP/SafeSEH y ASLR. Sin embargo, dicen que no llega a cumplir con sus criterios para un boletín de seguridad y que lo solucionaran en un service pack o una actualización futura del producto," explicó Arce en una entrevista telefónica desde su oficina en Buenos Aires, Argentina.

"Dado que aquella es su decisión, sentimos que debemos informar a la gente del riesgo de modo que puedan tomar decisiones informadas," agregó. "Consideramos que esta es una vulnerabilidad que debe ser reparada."
 Representantes de Microsoft rehusaron comentarlo hasta que tengan oportunidad de revisar el boletín de Core sobre este asunto.

El hipervisor Virtual PC de Microsoft es un elemento del paquete Windows Virtual PC de la compañía, el cual permita a los usuarios correr multiples entornos Windows en una sola computadora. El hipervisor es el componente clave del Modo XP de Windows 7, una característica en el último sistema operativo de escritorio de Microsoft dirigida a facilitar el camino de migración hacia el nuevo SO para los usuarios y compañías que necesitan correr aplicaciones heredadas Windows XP en su SO nativo.

Con este descubrimiento, Arce dice que puede transformar cierto tipo de fallas comunes de software en vulnerabilidades explotables. "Ciertas vulnerabilidades que han sido desestimadas como no explotables ahora pueden serlo en entornos virtualizados," dijo. "Digamos que alguien encontró una vulnerabilidad 2 o 3 años atrás en una aplicación virtual. Hicieron el análisis y determinaron que no era explotable porque sólo causaba un crash en la aplicación cliente. Ahora, uno puede eludir DEP y SafeSEH y esa misma vulnerabilidad o una larga lista de vulnerabilidades pueden ser explotables en ambientes virtualizados. .

Core recomienda que los usuarios afectados corran todas las aplicaciones Windows de misión crítica en su equipo nativo o usen tecnologías de virtualización que no estén afectadas por esta vulnerabilidad.

Los sistemas operativos y aplicaciones Windows que deben correr virtualizados usando tecnologías Virtual PC deben ser mantenidos con el nivel de parches más alto posible y monitoreados para detectar intentos de explotación.

"Este caso particular provee de un buen ejemplo de como los mecanismo diseñados para mejorar la seguridad de un sistema operativo por muchos años eventualmente pueden volverse ineficaces cuando algún aspecto subyacente de su operación es cambiado por tecnología de virtualización," dijo Arce.

Traducción: Raúl Batista - Segu-Info
Autor: Ryan Naraine
Fuente: Threat Post

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!