Resultados 1 al 3 de 3

Tema: Microsoft da detalles sobre el 0 day que aprovecha Duqu: Cómo protegerse

  1. #1 Microsoft da detalles sobre el 0 day que aprovecha Duqu: Cómo protegerse 
    Colaborador HH
    Fecha de ingreso
    Sep 2006
    Ubicación
    Argentina
    Mensajes
    2.073
    Descargas
    16
    Uploads
    0
    Microsoft ha lanzado un boletín con algunos detalles sobre qué vulnerabilidad aprovecha Duqu y cómo protegerse. Se trata de una elevación de privilegios en el sistema, a causa de un error en el tratamiento de ciertos tipos de fuentes.

    Hace poco que se hizo público que Duqu aprovechaba una vulnerabilidad previamente desconocida. Desde una-al-día hemos especulado con la posibilidad de que se tratasen de dos vulnerabilidades: una en Word y otra en el propio sistema para elevar privilegios. Microsoft ha emitido un boletín confirmando y dando detalles sobre un fallo que permite la elevación de privilegios. Aunque esto no descarta la posibilidad de un fallo en Word, disminuye las probabilidades de que exista. Como también indicamos, es posible que Word llame a esa DLL para tratar las fuentes y desde ahí, consiga elevar privilegios.

    El problema se centra en el controlador de sistema win32k.sys. Un fallo al tratar ciertas fuentes permite que una aplicación eleve privilegios y consiga control total del sistema. Así, Duqu podría conseguir los permisos necesarios para incrustarse en Windows.

    El boletín de Microsoft aconseja bloquear el acceso a la librería t2embed.dll. Como no puede solucionar el fallo en win32k.sys a través de una contramedida, para proteger a sus usuarios aconseja limitar el acceso a una de las librerías involucradas en el procesado de las fuentes incrustadas. Esto hace pensar que quizás existan otros vectores de ataque posibles (aunque quizás poco probables) que no quedarían cubiertos.

    Aplicando la contramedida

    Para aplicar la contramedida, Microsoft aconseja quitar todos los permisos de acceso a la librería t2embed.dll, situada en %windir%\system32\ en versiones de 32 bits y "%windir%\syswow64\ en versiones de 64 bits. No sirve con renombrar, puesto que el sistema de reemplazo automático de ficheros vitales de Microsoft, tomará de nuevo la DLL de la caché y la volverá a situar con el mismo nombre en la misma ruta.

    Para conseguir este objetivo, se puede hacer a través del menú contextual de seguridad del archivo (en varios pasos: tomando el control, eliminando los permisos heredados y luego negando el acceso al grupo "Todos"):


    O bien a través de línea de comandos:
    Para XP y 2003:
    • cacls "%windir%\system32\t2embed.dll" /E /P todos:N

    Para 7 y Vista:
    • icacls.exe "%windir%\system32\t2embed.dll" /deny todos:(F)

    Teniendo en cuenta que antes hay que hacerse dueño del archivo (en Windows 7 es posible que pertenezca al usuario TrustedInstaller, que protege el archivo y lo reemplaza de una caché en caso de que no lo encuentre). Para ello, se puede hacer por línea de comandos:

    • Takeown.exe /f "%windir%\system32\t2embed.dll"


    Otra posibilidad, es aplicar el "Fix it" de Microsoft (un programa que automáticamente realiza estos cambios). Disponible desde: http://support.microsoft.com/kb/2639658

    ¿Por qué protegerse?

    Lo cierto es que es muy poco probable que Duqu infecte a usuarios de casa. ¿Por qué es tan importante protegerse entonces de este 0 day? Por varias razones. Ahora que se conoce que existe una vulnerabilidad grave de elevación de privilegios y que se aprovecha a través de una DLL concreta, otros atacantes se pondrán a investigar en un área más restringida con más posibilidades de éxito. Por tanto, es posible que pronto se hagan públicos los detalles técnicos. O lo que es peor, que las mafias organizadas la descubran y usen para infectar sistemas.

    Es una vulnerabilidad muy golosa para los atacantes por varias razones:

    • Es aprovechable a través de cualquier programa que utilice ciertas fuentes TrueType.
    • No solo ejecuta código, sino que lo hace con los máximos privilegios. Esto, en Windows 7 y Vista donde los privilegios suelen ser mínimos, está muy cotizado hoy en día entre los atacantes.
    • No existe parche y, aunque Microsoft probablemente saque una solución fuera de ciclo por la gravedad del asunto, los atacantes todavía disponen de un margen de tiempo considerable.

    Más información:
    Vulnerability in TrueType Font Parsing Could Allow Elevation of Privilege


    Fuente
    Última edición por 4v7n42; 04-11-2011 a las 20:05
    "¿Acaso vuestro terror se asemeja al del despotismo? Si, la espada que brilla en las manos de los héroes de la libertad se asemeja a la espada con la que están armados los esbirros de la tiranía."
    Citar  
     

  2. #2  
    Avanzado
    Fecha de ingreso
    Feb 2002
    Mensajes
    161
    Descargas
    15
    Uploads
    0
    Gracias por la información y por el consejo de ¿Por qué protegerse? pensaba no instalarlo pero leyendo eso decidí hacerlo.
    Programo en Visual Basic 6
    'Por si se me olvido agregar el lenguaje...
    Citar  
     

  3. #3  
    Colaborador HH
    Fecha de ingreso
    Sep 2006
    Ubicación
    Argentina
    Mensajes
    2.073
    Descargas
    16
    Uploads
    0
    Cita Iniciado por proteo1 Ver mensaje
    Gracias por la información y por el consejo de ¿Por qué protegerse? pensaba no instalarlo pero leyendo eso decidí hacerlo.
    Yo también pensaba no hacerlo, pero total se arregla en 1 segundo y te podes evitar disgustos mas adelante.
    "¿Acaso vuestro terror se asemeja al del despotismo? Si, la espada que brilla en las manos de los héroes de la libertad se asemeja a la espada con la que están armados los esbirros de la tiranía."
    Citar  
     

Temas similares

  1. 0-day en el Kernel de Windows utilizado por Duqu
    Por 4v7n42 en el foro NOTICIAS
    Respuestas: 1
    Último mensaje: 02-11-2011, 19:02
  2. Respuestas: 3
    Último mensaje: 25-09-2010, 02:12
  3. Protegerse de las estafas en Internet
    Por LUK en el foro NOTICIAS
    Respuestas: 0
    Último mensaje: 12-01-2008, 11:18
  4. Quiero mas detalles sobre el puerto 445
    Por chico1988 en el foro INTRUSION
    Respuestas: 4
    Último mensaje: 26-03-2007, 16:37
  5. Más detalles sobre el próximo PDA Linux de AMD
    Por aerial25 en el foro NOTICIAS
    Respuestas: 2
    Último mensaje: 30-09-2003, 19:30

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •