Skip to content

Sobre la última vulnerabilidad crítica de Microsoft (parche MS08-067) ¿Hora de cambiar el mensaje?

Publicado por Sergio Hernando el 26 octubre 2008

Hola,

He preferido esperarme un poco a la hora de hablar de este problema, por eso de tener las cosas claras, y es que cuando salen parches inesperados sin detalles, es mejor esperar y ser prudentes antes de opinar, porque de lo contrario es probable que entremos en la especulación. Es siempre preferible esperar actualizaciones en la información cuando se va a opinar de asustos como el que nos ocupa. Esta lección me la apunto para mí también, porque yo soy el primero que a veces ha opinado sin que estuvieran todos los detalles en lo alto de la mesa, y esto puede tener efectos adversos, sobre todo en los que llegan a la información que publicas.

El pasado 23 de octubre, tan pronto estuvo disponible, Microsoft emitió un boletín de seguridad fuera de su ciclo habitual de actualizaciones: Microsoft Security Bulletin MS08-067 – Critical - Vulnerability in Server Service Could Allow Remote Code Execution (958644), cuya aparición se desveló en un aviso previo, en el que poco o nada se decía.

Efectivamente, el día 23 apareció este parche, y así lo hizo saber el fabricante. En este comunicado se confirmaba que el problema afecta a todas las versiones de Windows en soporte, indicando que era de carácter critico para todas las versiones con la excepción de Vista y "otras versiones nuevas". El carácter crítico no lo discute nadie: hablamos de ejecución remota de código en algo tan básico como el servicio server de Windows. El resumen de impactos es el que sigue:

Versiones con afectación catalogada como crítica

Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2
Windows XP Service Pack 3
Windows XP Professional x64 Edition
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP1 for Itanium-based Systems
Windows Server 2003 with SP2 for Itanium-based Systems

Versiones con afectación catalogada como importante

Windows Vista and Windows Vista Service Pack 1
Windows Vista x64 Edition and Windows Vista x64 Edition Service Pack 1
Windows Server 2008 for 32-bit Systems*
Windows Server 2008 for x64-based Systems*
Windows Server 2008 for Itanium-based Systems

¿Hora de cambiar el mensaje?

En seguridad es frecuente que los que nos dedicamos a escribir sobre estos temas, que somos muchos, nos limitemos a hacer descripcones técnicas de los incidentes. Por ejemplo:

Le informo que el parche MS08-067, que solventa una vulnerabilidad en el Server Service de las versiones en soporte declaradas el ciclo de vida de Microsoft Windows, ha sido liberado fuera del ciclo de actualizaciones, con lo que, dada su gravedad, la recomendación es que actualice de manera urgente. La vulnerabilidad, caso de ser explotada, facilitaría una posible ejecución remota de código.

Esta información es suficiente para un técnico o un usuario con cierto conocimiento, pero os invito a que hagáis una prueba con vuestros allegados, a ver quién, después de escuchar un discurso similar, sabe resumir qué pasa, si es o no es un problema, cuáles son las acciones a tomar y porqué hay que tomarlas. Creo que todos coincidiremos que esta información es insuficiente e inútil para la amplia mayoría de la ciudadanía, porque el usuario medio ni sabe lo que es ejecución remota, ni lo que es el servicio server de Windows, ni sabe discernir entre lo que es crítico, importante o poco relevante en el ámbito de la seguridad, ni qué es el ciclo de vida de Microsoft, etc. De hecho, muchos ni sabrán si tienen instalado un Service Pack 2 o un Service Pack 3, ni lo que es un Service Pack, o si su sistema es o no es x64.

La información que realmente importa en este asunto es que esta vulnerabilidad, como reconoce el mismo fabricante, se descubrió como parte de un proceso de investigación en series limitadas de malware especializado orientado a Windows XP. Durante unas dos semanas (nos remontamos a la semana del 8 de octubre) los técnicos de Microsoft estuvieron, como es normal y lógico, analizando el tema. Habían descubierto malware (TrojanSpy:Win32/Gimmiv.A y TrojanSpy:Win32/Gimmiv.A.dll) que explotaba una vulnerabilidad que no conocían, y que por ende, se investigó, disparando un proceso de gestión de incidencias que internamente denominan Software Security Incident Response Process (SSIRP).

Según este proceso, se determinó que la vulnerabilidad era potencialmente "wormable", es decir, diseminable masivamente sin intervención del usuario, al igual que sucede con los gusanos, lo cual es sin duda preocupante. Por otro lado, como es normal, el fabricante orientó la producción de un parche corrector a la distribución masiva, rápida y que no ocasionase problemas a la clientela, lo que llevó a acelerar el proceso y no esperar al ciclo de actualizaciones de Noviembre. Una actitud responsable, sin duda alguna, acompañada de otra actitud igualmente responsable, consistente en la notificación a los partners de los hallazgos y las firmas empleadas para detectar esa nueva amenaza.

Riesgos reales

He echado muy en falta que este problema no haya sido orientado al riego real, y ese no es poder sufrir una ejecución remota de código. El riesgo real para mí es que este problema puede conducir a que el crimen organizado tome control de nuestras máquinas para sostener actividades criminales. En definitiva, que nuestros recursos (nuestro PC, nuestra ADSL, la electricidad que pagamos mes a mes) sirvan para cometer delitos, sin nuestro consentimiento, y sin nuestro consentimiento.

Si hay que señalar a culpables, que sea a quienes investigan estas cosas no por afición, o por colaborar con los fabricantes, sino con fines criminales. Yo en este caso no tengo nada que objetar respecto a la actuación del fabricante, que ha dispuesto todos los medios a su alcance para atender a su clientela, siendo todo lo diligentes y responsables a la hora de emitir un parche necesario, pero que de hacerlo mal, podría afectar a muchas personas.

Desde webcasts, a la información sobre la importancia de ir de la mano de sus partners, así como de los programas activos de Microsoft para solventar problemas, o de la importancia de ser prácticos hablando de impactos en estas materias, ofreciendo información detallada y medios para protegerse.

¿Pero qué ha sido del malware que ha provocado este jaleo? ¿Y de la posibilidad de que se esté explotando el problema desde hace semanas? ¿Y de las probabilidades de que otras vulnerabilidades no conocidas, similares a la descrita, estén siendo explotadas en la actualidad?

¿Por que no se ha remarcado o enfatizado que la vulnerabilidad se ha descubierto viendo lo que hace un juego de malware? Es decir, que todo esto se ha descubierto porque unos atacantes se han inventado una manera de explotar millones de máquinas, y la han empaquetado el método en un juego de troyanos, que una vez distribuido, ha llegado a las manos de quienes velan por la seguridad de una plataforma desembocando en acciones de mitigación del problema.

Pero, ¿cuántas máquinas han podido recibir ese malware antes de la aparición del parche? ¿Cuáles son los detalles que nos permiten saber qué hacen y cómo lo hacen esos troyanos? ¿Son pruebas de concepto? ¿Es malware consolidado? Vaya usted a saber ...

Soy usuario doméstico de Windows. ¿Qué hago?

1. Actualice el sistema.
2. Compruebe si está infectado (desconozco qué antivirus aparte del propio de Microsoft detectan y solventan la amenaza)
3. Actuar sobre la infección, si existe. Si tiene dudas, acuda al fabricante.

Soy usuario profesional de Windows. ¿Qué hago?

1. Diríjase al fabricante.
2. Adopte con su ayuda una estrategia de gestión de incidentes específica para el caso.
3. Actúe en función a la estrategia definida en el paso anterior.

Blogs del fabricante que tratan estas temáticas

Os dejo algunos enlaces útiles del mismo fabricante, para poder tener más información sobre vulnerabilidades en plataformas Windows. Son los siguientes:

The Microsoft Security Response Center (MSRC)
MSRC Ecosystem Strategy Team
Security Vulnerability Research & Defense
Microsoft Malware Protection Center

Un saludo,

Be Sociable, Share!

Categoría/s → Alertas, Seguridad

5 comentarios
  1. 26 octubre 2008

    Se tenga actualizado o no el windows, es CONDICIÓN NECESARIA que no suficiente la instalación de un cortafuegos software debidamente configurado. Algunos creen que con el del router (los pocos que lo editan) es suficiente…

    Comentario también válido para Gnu/Linux y BSD, aunque no tan imperativo como en windows, pero nunca está de más, sobre todo si realizamos transacciones vía internet y…

    Ya no entro en el tema de permisos, servicios, cifrado fuerte… pero ¿es tánto pedir que la gente instale un cortafuegos software de verdad que proteja en los dos sentidos de la comunicación? Parece que sí, independientemente de que los años vayan pasando.

    Resumiendo: la masa prescinde de currarse un poco la seguridad, no les importa. Y cada año peor, pues las nuevas generaciones son más indolentes que las anteriores, gracias a la LOGSE, país.

    En internet hay multitud de información al respecto, pero utilizan los buscadores para temas más mundanos.

    PD: por cierto, para comentar se necesita tener habilitado el dichoso javascript, y eso que no tienes botones para su edición enriquecida.

  2. 27 octubre 2008
    deincognito permalink

    Todo se pervierte por el lenguaje empleado o por razones de negocio.

    Si no te cuelen el WGA como actualización, cargándote algo que extrae información de tu ordenador para conocimiento en Redmond, pues…

    Google decidió hace tiempo relajar el lenguaje tipo abogado de sus políticas y complementar con vídeos que explican qué es una cookie, un log de búsqueda,…

    Salu2

  3. 27 octubre 2008

    Otra opción para usuarios domésticos y profesionales es abandonar la plataforma Windows que, dada su amplia cuota de mercado y su carácter propietario y cerrado, supone un riesgo elevado, no sólo desde el punto de vista de la seguridad, sino de las libertades.

  4. 28 octubre 2008

    Buenas,

    F-Secure se empieza a mojar.

    http://www.f-secure.com/weblog/archives/00001521.html

    Al parecer, algún troyano que ha caido en sus manos es obra de una persona inexperta en programación. Están analizando muestras, con lo que habrá que estar al tanto.

Trackbacks & Pingbacks

  1. Downadup/Conficker: La masacre continúa » Sergio Hernando

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS