Llevamos un par de días con un continuo bombardeo en los medios sobre la última vulnerabilidad que afecta a sistemas Microsoft.
Este problema está causado por la gestión de cursores animados en Windows, y afecta a todas las versiones existentes. El problema es extremadamente crítico, y permite que, mediante exploits que ya están corriendo alegremente por la Red, un atacante pueda ejecutar código arbitrario en una máquina.
En una escala de criticidad de 0 (nada) a 10 (máxima), es un problema de criticidad 10. Se entienden por vulnerables Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Professional, Microsoft Windows 2000 Server, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Web Edition, Microsoft Windows Storage Server 2003, Microsoft Windows Vista, Microsoft Windows XP Home Edition y Microsoft Windows XP Professional.
El problema fue descubierto por Determina Security, los cuales alegan en su página que los detalles de este exploit se facilitaron a la casa de Redmond de manera privada en Diciembre de 2006.
En ausencia de parches, surgen diversas maneras de atajar el problema. Yo soy de los que confío en Snort, con lo que os dejo una regla para el IDS:
alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:”BLEEDING-EDGE CURRENT EVENTS MS ANI exploit”; flow:established,to_server; content:”|54 53 49 4C 03 00 00 00 00 00 00 00 54 53 49 4C 04 00 00 00 02 02 02 02 61 6E 69 68 52|”; classtype:attempted-admin; reference:url,http://isc.sans.org/diary.html?storyid=2534; reference:url,http://www.avertlabs.com/research/blog/?p=233; reference:url,doc.bleedingthreats.net/2003519; sid:2003519; rev:1;)
Un saludo, y a aquellos que empleáis Windows, que Dios os pille confesados :)