Se descubren otros tres fallas tipo “día-cero” en productos Microsoft

[07/07/2010] Microsoft enfrenta una tormenta de vulnerabilidades del tipo “día-cero” que se han encontrado en sus programas más importantes, de acuerdo a la reciente publicación de fallas sin parchar en productos como Windows XP, Internet Explorer y su producto de bandera el Servidor Web IIS.

Las vulnerabilidades fueron publicadas por un grupo de investigadores que se hacen llamar a sí mismos como el Colectivo de Investigación Rechazado por Microsoft (MSRC), equipo que ha notificado a Microsoft de al menos tres fallas en las últimas semanas.

El jueves pasado, el investigador Soroush Dalili publicó información acerca de una vulnerabilidad en Internet Information Services (IIS), el software de Servidores Web de Microsoft. De acuerdo a Dalili, quien trabaja como un analista de seguridad en la industria de juegos y casinos, se puede saltar la seguridad en versiones antiguas de IIS, dandole ventaja a los atacantes que desean tomar por asalto los servidores web de algunas empresas. La falla puede ser explotada en IIS 5.1, pero no en los nuevos IIS 6, IIS 7 o IIS 7.5, señaló Dalili.

Microsoft indicó que estaba investigando la vulnerabilidad, pero minimizaron el anuncio de la vulnerabilidad. “IIS no está instalado por defecto y los usuarios tienen que cambiar la configuración establecidad para hacerse vulnerables” señaló hoy en un email Jerry Bryant, gerente del Microsoft Security Response Center.

El portal de seguridad Secunia calificó las vulnerabilidades como “moderadamente crítico” en el rango intermedio de su escala de cinco pasos.

A principio de la semana pasada Ruben Santamarta, un investigador de la firma de seguridad Wintercore, reveló información y publicó código que permitía el ataque de Internet Explorer 8 al ejecutarlo sobre Windows 7, Vista o Windows XP. Santamarta señaló que la falla podía ser utilizada para saltar el sistema de prevención de ejecución de datos (DEP) y el Address Space Layout Randomization (ASLR), un sistema encargado de hacer aleatoria la memoria RAM, ambos sistemas de seguridad insertados en Windows.

Las técnicas para burlar el DEP y el ASLR no son cosa nueva. A finales de marzo, el investigador danés Peter Vreugdenhil logró explotar una vulnerabilidad en Internet Explorer 8 sobre Windows 7, con código que evadía el DEP y ASLR para ganar 10 mil dólares en el cuarto concurso annual Pwn3Own.

Microsoft también minimizó las declaraciones de Santamarta indicando que DEP y ASLR podrían ser burlados, algo que no sorprende, considerando que hizo lo mismo al declarar sobre comentarios sobre la capacidad de saltar esas defensas.