Resultados 1 al 2 de 2

Sobre la última vulnerabilidad crítica de Microsoft, ¿Hora de cambiar el mensaje?

  1. #1 Sobre la última vulnerabilidad crítica de Microsoft, ¿Hora de cambiar el mensaje? 
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicación
    SpaÑa
    Mensajes
    5.284
    Descargas
    223
    Uploads
    250
    He preferido esperarme un poco a la hora de hablar de este problema, por eso de tener las cosas claras, y es que cuando salen parches inesperados sin detalles, es mejor esperar y ser prudentes antes de opinar, porque de lo contrario es probable que entremos en la especulación.

    Es siempre preferible esperar actualizaciones en la información cuando se va a opinar de asustos como el que nos ocupa. Esta lección me la apunto para mí también, porque yo soy el primero que a veces ha opinado sin que estuvieran todos los detalles en lo alto de la mesa, y esto puede tener efectos adversos, sobre todo en los que llegan a la información que publicas.

    El pasado 23 de octubre, tan pronto estuvo disponible, Microsoft emitió un boletín de seguridad fuera de su ciclo habitual de actualizaciones: Microsoft Security Bulletin MS08-067 – Critical - Vulnerability in Server Service Could Allow Remote Code Execution (958644), cuya aparición se desveló en un aviso previo, en el que poco o nada se decía.

    Efectivamente, el día 23 apareció este parche, y así lo hizo saber el fabricante. En este comunicado se confirmaba que el problema afecta a todas las versiones de Windows en soporte, indicando que era de carácter critico para todas las versiones con la excepción de Vista y "otras versiones nuevas". El carácter crítico no lo discute nadie: hablamos de ejecución remota de código en algo tan básico como el servicio server de Windows. El resumen de impactos es el que sigue:

    Versiones con afectación catalogada como crítica

    • Microsoft Windows 2000 Service Pack 4
    • Windows XP Service Pack 2
    • Windows XP Service Pack 3
    • Windows XP Professional x64 Edition
    • Windows XP Professional x64 Edition Service Pack 2
    • Windows Server 2003 Service Pack 1
    • Windows Server 2003 Service Pack 2
    • Windows Server 2003 x64 Edition
    • Windows Server 2003 x64 Edition Service Pack 2
    • Windows Server 2003 with SP1 for Itanium-based Systems
    • Windows Server 2003 with SP2 for Itanium-based Systems


    Versiones con afectación catalogada como importante

    • Windows Vista and Windows Vista Service Pack 1
    • Windows Vista x64 Edition and Windows Vista x64 Edition Service Pack 1
    • Windows Server 2008 for 32-bit Systems*
    • Windows Server 2008 for x64-based Systems*
    • Windows Server 2008 for Itanium-based Systems




    ¿Hora de cambiar el mensaje?

    En seguridad es frecuente que los que nos dedicamos a escribir sobre estos temas, que somos muchos, nos limitemos a hacer descripcones técnicas de los incidentes. Por ejemplo:

    Le informo que el parche MS08-067, que solventa una vulnerabilidad en el Server Service de las versiones en soporte declaradas el ciclo de vida de Microsoft Windows, ha sido liberado fuera del ciclo de actualizaciones, con lo que, dada su gravedad, la recomendación es que actualice de manera urgente. La vulnerabilidad, caso de ser explotada, facilitaría una posible ejecución remota de código.
    Esta información es suficiente para un técnico o un usuario con cierto conocimiento, pero os invito a que hagáis una prueba con vuestros allegados, a ver quién, después de escuchar un discurso similar, sabe resumir qué pasa, si es o no es un problema, cuáles son las acciones a tomar y porqué hay que tomarlas. Creo que todos coincidiremos que esta información es insuficiente e inútil para la amplia mayoría de la ciudadanía, porque el usuario medio ni sabe lo que es ejecución remota, ni lo que es el servicio server de Windows, ni sabe discernir entre lo que es crítico, importante o poco relevante en el ámbito de la seguridad, ni qué es el ciclo de vida de Microsoft, etc. De hecho, muchos ni sabrán si tienen instalado un Service Pack 2 o un Service Pack 3, ni lo que es un Service Pack, o si su sistema es o no es x64.

    La información que realmente importa en este asunto es que esta vulnerabilidad, como reconoce el mismo fabricante, se descubrió como parte de un proceso de investigación en series limitadas de malware especializado orientado a Windows XP. Durante unas dos semanas (nos remontamos a la semana del 8 de octubre) los técnicos de Microsoft estuvieron, como es normal y lógico, analizando el tema. Habían descubierto malware (TrojanSpy:Win32/Gimmiv.A y TrojanSpy:Win32/Gimmiv.A.dll) que explotaba una vulnerabilidad que no conocían, y que por ende, se investigó, disparando un proceso de gestión de incidencias que internamente denominan Software Security Incident Response Process (SSIRP).

    Según este proceso, se determinó que la vulnerabilidad era potencialmente "wormable", es decir, diseminable masivamente sin intervención del usuario, al igual que sucede con los gusanos, lo cual es sin duda preocupante. Por otro lado, como es normal, el fabricante orientó la producción de un parche corrector a la distribución masiva, rápida y que no ocasionase problemas a la clientela, lo que llevó a acelerar el proceso y no esperar al ciclo de actualizaciones de Noviembre. Una actitud responsable, sin duda alguna, acompañada de otra actitud igualmente responsable, consistente en la notificación a los partners de los hallazgos y las firmas empleadas para detectar esa nueva amenaza.

    Riesgos reales

    He echado muy en falta que este problema no haya sido orientado al riego real, y ese no es poder sufrir una ejecución remota de código. El riesgo real para mí es que este problema puede conducir a que el crimen organizado tome control de nuestras máquinas para sostener actividades criminales. En definitiva, que nuestros recursos (nuestro PC, nuestra ADSL, la electricidad que pagamos mes a mes) sirvan para cometer delitos, sin nuestro consentimiento, y sin nuestro consentimiento.

    Si hay que señalar a culpables, que sea a quienes investigan estas cosas no por afición, o por colaborar con los fabricantes, sino con fines criminales. Yo en este caso no tengo nada que objetar respecto a la actuación del fabricante, que ha dispuesto todos los medios a su alcance para atender a su clientela, siendo todo lo diligentes y responsables a la hora de emitir un parche necesario, pero que de hacerlo mal, podría afectar a muchas personas.

    Desde webcasts, a la información sobre la importancia de ir de la mano de sus partners, así como de los programas activos de Microsoft para solventar problemas, o de la importancia de ser prácticos hablando de impactos en estas materias, ofreciendo información detallada y medios para protegerse.

    ¿Pero qué ha sido del malware que ha provocado este jaleo? ¿Y de la posibilidad de que se esté explotando el problema desde hace semanas? ¿Y de las probabilidades de que otras vulnerabilidades no conocidas, similares a la descrita, estén siendo explotadas en la actualidad?

    ¿Por que no se ha remarcado o enfatizado que la vulnerabilidad se ha descubierto viendo lo que hace un juego de malware? Es decir, que todo esto se ha descubierto porque unos atacantes se han inventado una manera de explotar millones de máquinas, y la han empaquetado el método en un juego de troyanos, que una vez distribuido, ha llegado a las manos de quienes velan por la seguridad de una plataforma desembocando en acciones de mitigación del problema.

    Pero, ¿cuántas máquinas han podido recibir ese malware antes de la aparición del parche? ¿Cuáles son los detalles que nos permiten saber qué hacen y cómo lo hacen esos troyanos? ¿Son pruebas de concepto? ¿Es malware consolidado? Vaya usted a saber ...

    Soy usuario doméstico de Windows. ¿Qué hago?

    1. Actualice el sistema.
    2. Compruebe si está infectado (desconozco qué antivirus aparte del propio de Microsoft detectan y solventan la amenaza)
    3. Actuar sobre la infección, si existe. Si tiene dudas, acuda al fabricante.

    Soy usuario profesional de Windows. ¿Qué hago?

    1. Diríjase al fabricante.
    2. Adopte con su ayuda una estrategia de gestión de incidentes específica para el caso.
    3. Actúe en función a la estrategia definida en el paso anterior.

    Blogs del fabricante que tratan estas temáticas

    Os dejo algunos enlaces útiles del mismo fabricante, para poder tener más información sobre vulnerabilidades en plataformas Windows. Son los siguientes:

    The Microsoft Security Response Center (MSRC)
    MSRC Ecosystem Strategy Team
    Security Vulnerability Research & Defense
    Microsoft Malware Protection Center


    Fuente: http://www.sahw.com/wp/archivos/2008...ar-el-mensaje/
    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

  2. #2  
    Iniciado
    Fecha de ingreso
    Jun 2008
    Ubicación
    Girona
    Mensajes
    12
    Descargas
    7
    Uploads
    0
    Una información muy útil. Grácias.
    Ahora mismo ya me estoy actualizando todo el sistema y analizando a fondo con el antivirus.

    El problema como dices es que deben haber hecho o que podrían haber hecho hasta ahora con nuestros pc's.
    Una pregunta que se me viene a la cabeza es que si usan nuestros pc's, sin que nosotros lo sepamos, para actividades delictivas, como puedes tu demostrar que no estabas enterado de ello y que lo han hecho sin permiso?
    No se si suena un poco a paranoia, pero podria ser que se estuviese utilizando mi pc para vete a saber que y yo sin saberlo.

    El juez seria comprensivo conmigo? Que podría hacer?
    "Es mejor estar callado y parecer tonto que hablar y despejar las dudas definitivamente." Grouxo Marx
    Citar  
     

Temas similares

  1. Respuestas: 1
    Último mensaje: 13-12-2008, 21:16
  2. Vulnerabilidad crítica en VMware ESX Server
    Por LUK en el foro NOTICIAS
    Respuestas: 0
    Último mensaje: 13-08-2008, 14:43
  3. Vulnerabilidad crítica en WordPress (2.3.2)
    Por LUK en el foro VULNERABILIDADES
    Respuestas: 0
    Último mensaje: 06-02-2008, 11:51
  4. Problema de ultima hora...
    Por So_auron en el foro MULTIMEDIA
    Respuestas: 4
    Último mensaje: 12-03-2004, 21:46
  5. Ultima Hora Csd!!!!!
    Por ciber en el foro DIGITAL+
    Respuestas: 0
    Último mensaje: 04-04-2002, 18:29

Marcadores

Marcadores