En menos de un mes Microsoft ha tenido que retirar en dos ocasiones
sendos parches que debían solucionar problemas de seguridad. En su
lugar las actualizaciones causaban errores a nivel de sistema y
paradas en algunos servicios. Peor el remedio que la enfermedad.
El pasado 18 de octubre Microsoft retiraba un parche para Windows 2000
(MS01-052 Invalid RDP Data can Cause Terminal Service Failure) cuya
instalación causaba errores en los sistemas. El 22 de octubre se
publicaba una rectificación del parche. Steve Lipner, director de
seguridad de Microsoft, reconoció públicamente los problemas que
achacó a «confusiones» de índole administrativa, al mismo tiempo que
anunciaba la puesta en marcha de nuevos procedimientos para impedir se
volviera a repetir el caso y conseguir la confianza de los usuarios.
Dicho y hecho. El 1 de noviembre Microsoft publicaba un boletín
donde se describía y facilitaba un parche destinado a corregir una
vulnerabilidad en el servicio UPnP (Universal Plug and Play) que
afecta a Windows 98, ME y XP. Los usuarios de Windows ME que
instalaron el parche pasaron de la remota posibilidad de sufrir un
ataque DoS a poder tener continuos problemas a nivel de sistema.
Tras los primeros reportes Microsoft retiró el parche para
Windows ME, a día de hoy siguen investigando el problema.
Peor lo llevan aquellos usuarios que hacen uso de las actualizaciones
automáticas de Microsoft, «Windows Update», que suelen ser los
«conejillos de India» donde se prueban los parches sin más
información. Bajo el título «October 25th, 2001 Critical Update»
se incluyó el parche defectuoso del servicio UPnP.
En pleno debate sobre la «anarquía informativa», Microsoft deja
patente que sus problemas con la seguridad, al menos en lo que a los
parches defectuosos se refieren, poco tiene que ver con la presión que
pueda ejercer la divulgación pública de las vulnerabilidades
detectadas en sus productos.
El problema original en el servicio UPnP fue reportado en exclusiva a
Microsoft el 15 de agosto por un investigador externo. Tuvo que
esperar 12 días a que Microsoft le comunicara que estaban estudiando
el caso. A principios de septiembre le confirmaron la existencia de la
vulnerabilidad. Transcurridas 10 semanas del aviso, el 1 de noviembre,
Microsoft hace pública la vulnerabilidad y facilita la «solución» con
los problemas ya descritos.
Al término de esta nota he recibido un mensaje desde Chile donde
«ZeroX» me comenta los problemas que ha encontrado en la herramienta
«HFNetChk» de Microsoft destinada a detectar los parches que faltan
en un sistema. En resumen, la falta de actualización de esta utilidad
ocasiona informes erróneos que pueden causar una falsa sensación de
seguridad. En lo que parece una clara contradicción a las tan
difundidas «Nuevas Estrategias de Seguridad», «ZeroX» dejaba caer la
siguiente pregunta: ¿Microsoft está realmente comprometida con la
seguridad?
bernardo@hispasec.com
Más información:
¿Anarquía informativa?
http://www.hispasec.com/unaaldia.asp?id=1091
Microsoft Security Bulletin MS01-052
Invalid RDP Data can Cause Terminal Service Failure
http://www.microsoft.com/technet/security/bulletin/MS01-052.asp
Microsoft Security Bulletin MS01-054
Invalid Universal Plug and Play Request can Disrupt System Operation
http://www.microsoft.com/technet/security/bulletin/MS01-054.asp
Three Windows XP UPNP DOS attacks
http://www.securityfocus.com/archive/1/224295
Problems with MS01-052 – Microsoft responds
http://www.ntbugtraq.com/default.asp?pid=36&sid=1&A2=ind0111&L=ntbugtraq&F=P&S=&P=7939
Microsoft To Review Buggy Patch Procedures
http://www.newsbytes.com/news/01/172041.html
Deja una respuesta