Desde el pasado catorce de febrero la gente de Microsoft (MS) les ha dado por consultar a especialistas en seguridad acerca de una vulnerabilidad "zero-day" llamada así porque no ha salido públicamente y no se ha notificado a la firma que desarrollo el software, en este caso MS. La expresión zero-day implica poner de cabeza al equipo encargado de la seguridad en los sistemas pues si se disemina de forma furtiva, bastantes "anónimos" podrían comprometer la integridad de más de un sistema y a menudo provocar ataques masivos afectando muchos sectores de la industria, es por eso que MS antes de rendir cuentas debe procurar un buen análisis de la situación.
Esta obra de algún investigador anónimo hasta ahora conocido por el seudonimo cupidon-3005 que público una prueba de concepto (proof-of-concept -PoC). No es más que un pequeño código en este caso hecho en el lenguaje de programación python demostrando como atacar el Server Message Block (SMB) embedido en el Common Internet File System (CIFS), un servicio interno de los servidores Windows.
Especificamente intuyen la vulnerabilidad a una función encargada del reporte de errores dentro del modulo CIFS, comento Matt Oh del Microsoft Malware Protection Center Vulnerability Response Team. La idea básica del ataque consiste en concatenar arreglos de cadenas vaciando primero localidades de memoria y después llenándolas para provocar un buffer overflow (desbordamiento) y ejecutar código malicioso. Todos estos puntos son críticos y no se puede eliminar cualquier probabilidad de riesgo, por el momento tanto el investigador anonimo de esta vulnerabilidad y Jerry Bryant encargado del Microsoft Trustworthy Computing Group coinciden en que no puede ser atacada remotamente y probablemente provoque denegación de servicio, contrario a lo que declara un aviso de la firma de seguridad VUPEN Security, si es posible la ejecución remota de código (RCE).
Jerry Bryant afirma que en las plataformas de 32bits no es posible llevar acabo RCE y se esta investigando en las plataformas de 64 bits con el fin de descartar posibles intromisiones, detalla el experto de MS; es necesario cerca de 4 GB espacio en direcciones de memoria para 32bits y 8g GB para 64bits.
Hasta que la falla tenga disponible un parche se recomienda bloquear los puertos TCP y UDP 138,139 y 445 esto de acuerdo con la firma VUPEN Security.
No hay comentarios.:
Publicar un comentario