Marzo de 2004

© Sergio de los Santos
http://www.forzis.com

El nuevo fallo de Microsoft podría ser de los más graves conocidos

Este primer martes de febrero, día diez, Microsoft publicaba sus parches de seguridad según la reciente (y ya poco respetada) norma con la que pretende minimizar el impacto de las actualizaciones. Entre las tres vulnerabilidades anunciadas que soluciona el parche, podría encontrarse una de las más críticas y potencialmente peligrosas jamás encontradas en el sistema operativo Windows, según sus descubridores de eEye.

Una de las vulnerabilidades solucionadas afecta a "Microsoft Virtual PC para Mac", con el que un atacante podría elevar privilegios en el sistema de forma fraudulenta. Otra afecta al sistema WINS (Windows Internet Naming Service), que no valida correctamente la longitud de algunos paquetes, y podría derivar, si se construyen paquetes especiales y son enviados a la máquina vulnerable, en la parada del servicio en la víctima.

Pero sin duda, la vulnerabilidad que ha causado más revuelo entre los especialistas es la MS04-007 calificada por la propia Microsoft como crítica en grado extremo. El problema reside en la librería ASN.1 que debido a un búfer no controlado, podría permitir la ejecución de código arbitrario, y por tanto que cualquier persona remotamente se adueñara de la máquina. ASN.1 (Abstract Syntax Notation One) es un estándar para describir mensajes (unidades de datos de una aplicación) enviadas o recibidas a través de distintos dispositivos de red. ASN.1 es un lenguaje formal que normaliza de forma abstracta el intercambio de mensajes entre una gran cantidad de aplicaciones (certificados digitales, Kerberos, NTLMv2, SSL, TLS...). Según CERT (Computer Emergency Reponse Team) tanto clientes como servidores se ven afectados. El proceso lsass.exe (local security authority subsystem) y un componente de la librería crypt32.dll usan ASN.1 sensible al fallo.

La notación ASN.1 está instalada en todos los sistemas basados en NT de Microsoft, (Windows NT, 2000, XP y 2003 en todas sus versiones) lo que hace vulnerable a millones de máquinas y servidores de todo el mundo. La compañía de Redmond ha sido duramente criticada por el retraso que ha arrastrado a la hora de hacer pública la vulnerabilidad y programar la solución. EEye, la empresa especializada en seguridad que ha descubierto el fallo, asegura que informó a Microsoft hace más de tres meses sobre los problemas que acarreaba la implementación de ASN.1 en Windows.

Un representante de Microsoft, respondía a las acusaciones alegando que "la respuesta a este tipo de problemas requiere un delicado equilibrio entre velocidad y calidad. La investigación nos ha exigido evaluar varios aspectos y problemas de esta importante función para que nuestros ingenieros puedan crear una solución global de alta calidad".

Sal Viveros, especialista en seguridad de McAfee Security auguraba un negro futuro si se tiene en cuenta que "la vulnerabilidad afecta a todo sistema operativo de Microsoft posterior a Windows Me. El virus Code Red aprovechaba un fallo en una sola versión de Windows 2000 y todos sabemos lo que ocurrió".

Si se llegara a programar un virus que aprovechara esta vulnerabilidad, las posibilidades de expansión y caos serían mayores a las de los devastadores Blaster o Slammer.

Más información y referencias:

Microsoft ASN flaw may be biggest defect ever found
http://searchsecurity.techtarget.com/

Windows security flaw 'worst ever'
http://www.infoconomy.com/

Microsoft Security Bulletin MS04-007
http://www.microsoft.com/technet/treeview/