Firma de Seguridad: Microsoft liberó 'Parches Silenciosos'
Microsoft solucionó calladamente tres vulnerabilidades el mes pasado, dos de ellas que afectan a servidores de correo Exchange de misión crítica para las empresas, sin señalar las fallas en los boletines que los acompañan, dijo hoy un experto en seguridad.
Dos de las tres vulnerabilidades no anunciadas, y las más serias del trio, fueron empaquetadas con MS10-024 , una actualización para Exchange y el Servicio SMTP de Windows que Microsoft publicó el 13 de abril y calificó como 'importante', su segunda calificación de amenazas en orden de importancia.
Según Ivan Arce, jefe de tecnología de Core Security Technologies, Microsoft solucionó las fallas, pero omitió divulgar que lo había hecho.
"Son más importantes que las [dos vulnerabilidades] que Microsoft si divulgó," dijo Arce. "Eso significa que los administradores [de sistemas] pueden terminar tomando las decisiones equivocadas respecto de la aplicación de la actualización. Ellos necesitan esa información para evaluar el riesgo." El investigador Nicolás Economou descubrió las dos fallas no mencionadas mientras investigaba la actualización, parte de sus tareas como escritor de exploits para Core, que es mejor conocida por su framework de pruebas de penetración Core Impact, un sistema para sondear en computadoras y redes vulnerabilidades potenciales mediante el ataque con exploits reales.
Un atacante puede apoyarse en las dos vulnerabilidades previamente no divulgadas y reparadas por MS10-024 para simular respuestas a cualquier consulta de DNS enviadas por el servicio SMTP de Windows trivialmente," dice Core en su propio boletín respecto del descubrimiento de Economou. "Las respuestas falsificadas de DNS y los ataques de envenenamiento de caché se sabe bien que tienen una variedad de implicaciones de seguridad con un impacto que va más allá de sólo una Denegación de Servicio (DoS) y Divulgación de Información tal como se afirma en MS10-024."
El envenenamiento de caché de DNS es una táctica de ataque desde hace tiempo --ya lleva cerca de dos décadas-- pero probablemente es más conocida por la vulnerabilidad crítica en el software de Sistema de Nombres de Dominio (DNS) descubierta por Dan Kaminsky en 2008.
Los parches secretos no son ni nuevos ni raros. "Han estado por muchos años y la acción en y por ellos no es una gran conspiración," dice Andrew Storms, director de operaciones de seguridad de nCircle Security. Lo que es inusual es que Core haga públicas las actualizaciones silenciosas de Microsoft.
Deciendo que Microsoft "distorsionó" y "subestimó" la criticidad de MS10-024 porque no reveló las dos fallas, Core urge a los administradores a "considerar re-evaluar las prioridades de instalación del parche."
Core encontró una tercer falla no declarada el 13 de abril en otra actualización, MS10-028 . Ese parche soluciona dos fallas en Microsoft Visio, el software para diagrama de proyectos de la compañía.
Microsoft reconoció que solucionó fallas sin decirle a los clientes, pero defendió esta práctica.
"Cuando se descubre una vulnerabilidad, Microsoft realiza una profunda investigación de esa vulnerabilidad, se ocupa de cualquier otro problema que se encuentre en el código como resultado de esa investigación y somete a la actualización de seguridad a amplias pruebas de garantía de calidad", dice Jerry Bryant, administrador del programa de seguridad, en un correo electrónico. "Esto ayuda a reducir el número de actualizaciones que deben realizar los clientes, ya que las actualizaciones pueden ser perjudiciales en los entornos de los clientes."
Si una falla descubierta internamente requiere una acción separada o una orientación que todavía no es cubierta por otras vulnerabilidades en el boletín, "definitivamente documentaremos y solucionaremos esa vulnerabilidad separadamente," dijo Bryant.
La verdad es que estos son asuntos usuales no solo para Microsoft, sino para la mayoría de los fabricantes de software, dijo Storms. "Los proveedores comúnmente encuentran fallas por si mismos en el código publicado y distribuirán los arreglos en un paquete con otros parches," señaló. "Muchas veces sencillamente no hay beneficio alguno para nadie en divulgar la falla."
De hecho, la política de Microsoft es no asignar CVEs -- indentificadores de fallas registrados en la base de datos de Vulnerabilidades y Exposiciones Comunes -- a las fallas encontradas por sus propios investigadores, dijo Storms. "No es requisito para un proveedor solicitar un CVE para fallas internas," dijo.
Pero Storms se hace eco de la preocupación de Arce sobre el posible mal uso de esta práctica, la cual podría resultar en una falsa sensación de seguridad entre los usuarios. "Lo que está en cuestión aquí es si el vendedor distorsionó el riesgo y por lo tanto creó una falsa sensación de letargo con respecto a la prioridad de distribución de parches," dijo. "Por ejemplo, si un parche para IE8 calificado como 'moderado' por Microsoft en verdad contiene una falla crítica descubierta internamente, ¿podría la menor calificación poner en riesgo a los clientes porque sienten que pueden demorar la distribución del parche, no teniendo idea que oculta un parche crítico?"
Arce argumenta que es exactamente lo que hizo Microsoft en el caso de MS10-024. "Arreglaron una vulnerabilidad muy parecida en MS08-037 hace dos años," dijo, refiriéndose al parche crítico de 2008 que cerraba las vulnerabilidades de DNS descubiertas por Kaminsky ."Si no fue una vulnerabilidad entonces, ¿porqué emitieron un boletín de vulnerabilidad?" pregunta Arce. "No tienen una forma razonables de decir que este no es un problema de seguridad."
"No hay una respuesta simple para el proveedor o el cliente," dice Storm. "Si el proveedor distribuye una parche crítico pero con poca información, como Adobe por ejemplo, estaremos martillando sobre el proveedor en busca de mayor información. Por otra parte, dado la carga de trabajo en los equipos de seguridad de las empresas necesitamos confiar en las calificaciones del proveedor para ayuda a determinar la prioridad."
Los boletines de Core sobre los parches silenciosos de MS10-024 y MS10-028 están disponibles en su sitio Web.
Traducción: Raúl Batista - Segu-Info
Autor: Gregg Keizer
Fuente: PC World
Dos de las tres vulnerabilidades no anunciadas, y las más serias del trio, fueron empaquetadas con MS10-024 , una actualización para Exchange y el Servicio SMTP de Windows que Microsoft publicó el 13 de abril y calificó como 'importante', su segunda calificación de amenazas en orden de importancia.
Según Ivan Arce, jefe de tecnología de Core Security Technologies, Microsoft solucionó las fallas, pero omitió divulgar que lo había hecho.
"Son más importantes que las [dos vulnerabilidades] que Microsoft si divulgó," dijo Arce. "Eso significa que los administradores [de sistemas] pueden terminar tomando las decisiones equivocadas respecto de la aplicación de la actualización. Ellos necesitan esa información para evaluar el riesgo." El investigador Nicolás Economou descubrió las dos fallas no mencionadas mientras investigaba la actualización, parte de sus tareas como escritor de exploits para Core, que es mejor conocida por su framework de pruebas de penetración Core Impact, un sistema para sondear en computadoras y redes vulnerabilidades potenciales mediante el ataque con exploits reales.
Un atacante puede apoyarse en las dos vulnerabilidades previamente no divulgadas y reparadas por MS10-024 para simular respuestas a cualquier consulta de DNS enviadas por el servicio SMTP de Windows trivialmente," dice Core en su propio boletín respecto del descubrimiento de Economou. "Las respuestas falsificadas de DNS y los ataques de envenenamiento de caché se sabe bien que tienen una variedad de implicaciones de seguridad con un impacto que va más allá de sólo una Denegación de Servicio (DoS) y Divulgación de Información tal como se afirma en MS10-024."
El envenenamiento de caché de DNS es una táctica de ataque desde hace tiempo --ya lleva cerca de dos décadas-- pero probablemente es más conocida por la vulnerabilidad crítica en el software de Sistema de Nombres de Dominio (DNS) descubierta por Dan Kaminsky en 2008.
Los parches secretos no son ni nuevos ni raros. "Han estado por muchos años y la acción en y por ellos no es una gran conspiración," dice Andrew Storms, director de operaciones de seguridad de nCircle Security. Lo que es inusual es que Core haga públicas las actualizaciones silenciosas de Microsoft.
Deciendo que Microsoft "distorsionó" y "subestimó" la criticidad de MS10-024 porque no reveló las dos fallas, Core urge a los administradores a "considerar re-evaluar las prioridades de instalación del parche."
Core encontró una tercer falla no declarada el 13 de abril en otra actualización, MS10-028 . Ese parche soluciona dos fallas en Microsoft Visio, el software para diagrama de proyectos de la compañía.
Microsoft reconoció que solucionó fallas sin decirle a los clientes, pero defendió esta práctica.
"Cuando se descubre una vulnerabilidad, Microsoft realiza una profunda investigación de esa vulnerabilidad, se ocupa de cualquier otro problema que se encuentre en el código como resultado de esa investigación y somete a la actualización de seguridad a amplias pruebas de garantía de calidad", dice Jerry Bryant, administrador del programa de seguridad, en un correo electrónico. "Esto ayuda a reducir el número de actualizaciones que deben realizar los clientes, ya que las actualizaciones pueden ser perjudiciales en los entornos de los clientes."
Si una falla descubierta internamente requiere una acción separada o una orientación que todavía no es cubierta por otras vulnerabilidades en el boletín, "definitivamente documentaremos y solucionaremos esa vulnerabilidad separadamente," dijo Bryant.
La verdad es que estos son asuntos usuales no solo para Microsoft, sino para la mayoría de los fabricantes de software, dijo Storms. "Los proveedores comúnmente encuentran fallas por si mismos en el código publicado y distribuirán los arreglos en un paquete con otros parches," señaló. "Muchas veces sencillamente no hay beneficio alguno para nadie en divulgar la falla."
De hecho, la política de Microsoft es no asignar CVEs -- indentificadores de fallas registrados en la base de datos de Vulnerabilidades y Exposiciones Comunes -- a las fallas encontradas por sus propios investigadores, dijo Storms. "No es requisito para un proveedor solicitar un CVE para fallas internas," dijo.
Pero Storms se hace eco de la preocupación de Arce sobre el posible mal uso de esta práctica, la cual podría resultar en una falsa sensación de seguridad entre los usuarios. "Lo que está en cuestión aquí es si el vendedor distorsionó el riesgo y por lo tanto creó una falsa sensación de letargo con respecto a la prioridad de distribución de parches," dijo. "Por ejemplo, si un parche para IE8 calificado como 'moderado' por Microsoft en verdad contiene una falla crítica descubierta internamente, ¿podría la menor calificación poner en riesgo a los clientes porque sienten que pueden demorar la distribución del parche, no teniendo idea que oculta un parche crítico?"
Arce argumenta que es exactamente lo que hizo Microsoft en el caso de MS10-024. "Arreglaron una vulnerabilidad muy parecida en MS08-037 hace dos años," dijo, refiriéndose al parche crítico de 2008 que cerraba las vulnerabilidades de DNS descubiertas por Kaminsky ."Si no fue una vulnerabilidad entonces, ¿porqué emitieron un boletín de vulnerabilidad?" pregunta Arce. "No tienen una forma razonables de decir que este no es un problema de seguridad."
"No hay una respuesta simple para el proveedor o el cliente," dice Storm. "Si el proveedor distribuye una parche crítico pero con poca información, como Adobe por ejemplo, estaremos martillando sobre el proveedor en busca de mayor información. Por otra parte, dado la carga de trabajo en los equipos de seguridad de las empresas necesitamos confiar en las calificaciones del proveedor para ayuda a determinar la prioridad."
Los boletines de Core sobre los parches silenciosos de MS10-024 y MS10-028 están disponibles en su sitio Web.
Traducción: Raúl Batista - Segu-Info
Autor: Gregg Keizer
Fuente: PC World
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!