Microsoft publica un nuevo boletín de seguridad en el que se informa
de una vulnerabilidad en el Visor de Eventos de Windows 2000. Un
buffer sin comprobar y que puede provocar el clásico ataque de
desbordamiento de buffer con la posibilidad de ejecución de código
en la máquina atacada.
El visor de eventos de Windows 2000 contiene un buffer sin comprobar
en una sección de código encargada de mostrar una vista detallada de
los registros de eventos. Si se intenta visualizar los detalles de un
registro que contenga datos especialmente mal construidos en alguno
de los campos, podrá provocar el desbordamiento de buffer. Como es
habitual en estos casos el problema puede dar lugar a un bloqueo del
Visor de Eventos o, lo que es peor, la ejecución de código en el
sistema atacado.
El código malicioso se ejecutará en el contexto del usuario que
visualiza el Visor de Eventos, aunque generalmente esta herramienta
suele ser empleada por los propios administradores. Hay que tener en
cuenta que no basta con visualizar o abrir el Visor de Eventos para
que se reproduzca el fallo se debe abrir, para ampliar detalles, el
registro afectado.
Para crear una entrada maliciosa en el Visor de Eventos el atacante
deberá tener acceso al sistema, si bien los usuarios sin privilegios
tienen capacidad para escribir entradas en los registros de Aplicación
y Sistema mediante llamadas a la API Win32. El atacante puede escribir
una aplicación maliciosa que genere esas entradas dañinas en el Visor
de Eventos que posteriormente si son visualizadas por el Administrador
darán lugar al compromiso de la máquina.
Aunque el problema puede ser difícil de reproducir, Microsoft publica
un parche cuya instalación se recomienda en todos los sistemas que
puedan verse afectados por la vulnerabilidad.
antonior@hispasec.com
Más información:
Boletín de seguridad Microsoft (MS01-13)
http://www.microsoft.com/technet/security/bulletin/MS01-013.asp
Dirección de descarga del parche
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=27842
Deja una respuesta