El día 23 Microsoft publicó un parche fuera de su ciclo habitual, de carácter crítico, en el que se solucionaba un problema de seguridad en el servicio Server de las distintas versiones del sistema operativo Windows. Avisó con un día de antelación. Hoy, el exploit ya es público. Las características de la vulnerabilidad hacen que sea «ideal» para ser aprovechado por un gusano tipo Blaster, que se convirtió en epidemia en 2003. ¿Podría pasar lo mismo con este fallo?
En julio de 2003 se descubre el desbordamiento de memoria intermedia en la interfaz RPC de sistemas Windows que, a la postre, permitiría la aparición del fatídico gusano Blaster. Otro fallo parecido un año después propició el nacimiento de Sasser, otro popular gusano. El último parche publicado por Microsoft de forma urgente, el MS08-067, tiene las mismas características: un desbordamiento de memoria intermedia en el procesamiento de peticiones RPC (Remote Procedure Call) que efectúa el servicio Server. ¿Se creará otro gusano parecido?
Lo que hace que esta vulnerabilidad sea especialmente peligrosa, es que es explotable de forma remota sin interacción del usuario: un atacante envía una petición especialmente manipulada a un puerto, y ya puede ejecutar código en el sistema con los máximos privilegios. Candidato ideal para un gusano «como los de antes». De ahí que Microsoft, con buen criterio, se haya lanzado a romper su ciclo habitual. Quizás motivado porque el fallo ha sido descubierto cuando ya se estaban produciendo ataques muy concretos. No a gran escala, pero sí que se han detectado incidentes que demostraban que los atacantes conocían el problema y lo estaban aprovechando en secreto. La última vez que Microsoft publicó una actualización de seguridad fuera de su ciclo habitual de actualizaciones fue el 3 de abril de 2007.
El último problema de este tipo (explotable enviado peticiones a un servicio) se vio hace más de dos años. Lo trataba el boletín MS06-040 y también afectaba al servicio Server (de hecho este nuevo boletín lo reemplaza). Se hizo público el exploit y hubo malware que lo aprovechaba, pero no fue epidemia. En este caso pensamos que tampoco se convertirá en el problema que antaño suponían estas vulnerabilidades. Por varias razones.
¿Por qué creemos que el potencial gusano no se convertirá en epidemia?
Microsoft cometió enormes y numerosos fallos de seguridad de este tipo en el pasado. Los gusanos de infección masiva campaban a sus anchas. Pero intentó solucionarlo a través de varios métodos. Primero con su nueva estrategia de seguridad anunciada hacia 2002. Desde entonces (tarde quizás) la seguridad sería prioridad. El problema es que, sobre una base tan débil, los resultados han tardado en observarse… pero están ahí. Por ejemplo, sobre Vista y Windows 2008 esta última vulnerabilidad no es crítica sino sólo «importante», que no es poco. En las últimas versiones de Windows el atacante debe estar autenticado para poder hacer que el exploit ejecute código. Si no, sólo se provocará una denegación de servicio.
Con el Service Pack 2 de Windows XP se activa el cortafuegos entrante por defecto. Esto mitiga enormemente las posibilidades de explotación de este tipo de fallos. De hecho, desde que el Sevice Pack fue lanzado en agosto de 2004, el malware se trasladó al navegador. Al no poder aprovechar fallos en los servicios por culpa del cortafuegos, necesitaban colarse en los sistemas de otra forma, e Internet Explorer sufrió la consecuencias. Todavía hoy es la forma favorita del malware de ejecutar código. Por si fuera poco, hoy en día, los usuarios están más que nunca detrás de un router casero que protege, en principio, los puertos del ordenador.
También, con XP, Microsoft introdujo una considerable mejora: muchos de los servicios por fin no se ejecutaban bajo el contexto del usuario más poderoso, SYSTEM. En Windows 2000, por el contrario, todos los servicios corrían con los máximos privilegios. Aunque para el caso esta medida no sirve. Svhost.exe y services.exe corren en XP y 2000 bajo los permisos de SYSTEM. Por otro lado, a partir de Vista el ASLR (Address Space Layout Randomization) impediría en buena medida también la ejecución de código.
Otro aspecto que mitiga el potencial problema es que Microsoft ha liberado el parche antes de que se haga público el exploit. En 2003 con Blaster ocurrió también. El parche estaba disponible un mes antes de que apareciera el gusano. Pero los usuarios tenían otra cultura. Hoy en día, aunque no demasiado, la educación sobre seguridad es mayor. Las actualizaciones automáticas también ayudan bastante.
El fallo puede ser más grave en empresas. Si un sistema se infecta con un gusano que aproveche esta última vulnerabilidad, es muy probable que pueda acceder a los puertos de otros ordenadores de la misma red sin que se vea bloqueado por cortafuegos. Sobre todo si la red no está convenientemente segmentada. Los administradores de grandes redes corporativas deben estar especialmente atentos a este boletín y parchear lo antes posible. También los que compartan recursos del sistema en una red interna o hacia el exterior.
Aunque parece que se han observado reportes de que el fallo se está aprovechando desde hace tres semanas, la actuación de Microsoft ha sido rápida. Detectar y analizar el problema lleva tiempo. Muchos analistas prestigiosos se han aventurado en el pasado a calificar de nuevos fallos problemas ya conocidos que ,simplemente, estaban siendo aprovechados a través de otro vector de ataque. Además hay que añadir el tiempo de comprobación del parche. Es un proceso que Microsoft se toma con cuidado y tres semanas no es un tiempo descabellado. Esperemos en todo caso que la actualización corrija por completo la vulnerabilidad y que no se detecten problemas de estabilidad.
Por último, las casas antivirus están trabajando incansablemente para detectar potenciales exploits y el malware que lo acompaña. Estos fallos alcanzan gran repercusión y no pueden permitirse el lujo de no crear firmas específicas para bloquearlos. Aunque el volumen de malware a tratar sea infinitamente mayor, el número de actualizaciones de firmas es mayor que en 2003. En ese año, actualizar cada varios días era normal, mientras hoy casi todos los antivirus actualizan las firmas varias veces al día.
En definitiva, el fallo es grave, es necesario actualizar ya. Sin excusas. No se han reportado problemas de estabilidad con el parche. Pensamos que sería muy raro que se produjese una epidemia como la de 2003. Aunque los índices de infección de malware son hoy mayores que nunca, al menos no son gracias a este tipo de errores tan «sencillos» de explotar.
ssantos@hispasec.com
Más información:
23/10/2008 Microsoft publica una actualización crítica fuera de ciclo
http://www.hispasec.com/unaaldia/3652/microsoft-publica-una-actualizacion-critica-fuera-ciclo
Deja una respuesta