Exploits a partir de ingeniería inversa de parches


Por todos es conocida la utilidad de la ingeniería inversa. En este caso, presentamos una aplicación de la citada técnica a la hora de analizar parches de actualización, con fines de investigación.





Halvar Flake, especialista en ingeniería inversa y responsable de la
consultora Sabre Security, decidió investigar sobre el parche crítico
publicado para Microsoft Internet Explorer, y se centró en la
vulnerabilidad en la gestión de documentos gráficos portables PNG.
Utilizando herramientas propias, Flake localizó, comparando una versión
parcheada con una sin parchear, los cambios específicos que supuso el
parche MS05-025 en menos de 20 minutos, ante una audiencia atónita.

El software empleado, que el autor ha denominado BinDiff, localiza
cambios entre binarios. Con esta demostración, Flake documentó cómo los
parches rápidos y teóricamente inocuos pueden ser fuente de obtención de
código vulnerable, una vez aplicada una técnica de ingeniería inversa
sobre los mismos.

En un documento aparecido el pasado mes de Junio, los mismos
investigadores analizaron mediante ingeniería inversa un fallo en
SSL que Microsoft había parcheado. Una vez estudiadas las versiones
con y sin parcheo, fue posible deducir un exploit en menos de 10
horas. En el mismo documento, se analiza igualmente la deducción de
una explotación para la vulnerabilidad del servidor ISA (Internet
Security and Acceleration), descubriéndose que el parche corregía la
vulnerabilidad sólo en algunas partes del sistema, habiéndose olvidado
los desarrolladores de corregir el código erróneo en ciertas partes
del mismo, lo que permitía generar código de explotación para una
vulnerabilidad teóricamente corregida.

La técnica de comparación de binarios es muy útil para otros propósitos:
por ejemplo, el análisis de la posible violación de propiedad
intelectual en programas, el análisis de cumplimiento de licencias, el
análisis de cambios en la morfología de virus, y tal y como se ha visto,
deducir problemas de seguridad a partir del código parcheado.

Parece obvio que el principal problema de la deducción de vulnerabilidades
por ingeniería inversa está en el hecho de que algún usuario malicioso
puede desarrollar un exploit una vez se ha publicado el parche, y
distribuirlo con intenciones maliciosas antes de que la gran parte
de los usuarios de dicho sistema se hayan actualizado. Algunas firmas,
como Oracle, dificultan el proceso de ingeniería inversa de parches
suministrando las actualizaciones sólo a los clientes, reduciendo por
tanto el público objetivo que recibirá los cambios. La jefa de seguridad
de Oracle, Mary Ann Davidson, considera que la técnica de ingeniería
inversa de parches no es accesible en masa todavía, y considera que
esta medida de distribución controlada les ayuda a paliar el problema.

Microsoft, y otras muchas empresas, reconocen que el tiempo de deducción
de vulnerabilidades por ingeniería inversa de parches está decreciendo,
y por tanto, están estudiando medidas para prevenir los efectos que las
vulnerabilidades detectadas puedan suponer para los usuarios finales.
Las empresas afectas normalmente argumentan que el análisis de parches
por ingeniería inversa no es fácil, y que la obtención de exploits una
vez analizado los cambios es una tarea compleja, lo que reduce el número
de sujetos capaces de realizar explotaciones a posteriori de fallos
corregidos.

De esta información podemos extraer dos conclusiones importantes: la
primera es que la reducción del tiempo entre la publicación de parches y
la aparición de exploits bien podría ser causa del avance en la rapidez
de obtención de información maliciosa por ingeniería inversa; y por otro
lado, parece más que obvio que el modelo de código abierto no incurre en
este problema, ya que la apertura del mismo hace accesible toda la
información a todos los estamentos, y esto revierte en una clara mejoría
en la gestión de vulnerabilidades.

El código cerrado tiene, en estos casos, un enemigo directo, y ése no es
otro que su propio oscurantismo.

Más información:

Reverse engineering patches making disclosure a moot choice?
http://www.securityfocus.com/news/11235

Comparing binaries with graph isomorphisms
http://www.bindview.com/Services/Razor/Papers/2004/comparing_binaries.cfm

Sabre Security: Publicaciones sobre comparación de binarios
http://www.sabre-security.com/resources/publications.html

Fuente:
Sergio Hernando
hispasec.com



Otras noticias de interés:

Envío de spam: tecnologías modernas
Los spammers usan programas y tecnologías especiales para generar y transmitir los millones de mensajes de spam que son enviados cada día. Esto requiere significantes inversiones de tiempo y dinero....
Rutkowska utiliza Windows XP... pero sin antivirus
Joanna Rutkowska, posiblemente una de las mayores expertas del mundo en malware, utiliza Windows XP x64 en su ordenador principal, y sin ningún antivirus, porque "no le gusta su aproximación al problema del malware". ...
Google desde el móvil
El operador telefónico Sprint ha firmado un acuerdo con Google, gracias al cual podrá ofrecer a sus usuarios los más de 400 millones de imágenes que Google tiene almacenadas en sus bases de datos. ...
Los riesgos del BYOD
Paradójico: así es como las empresas españolas se enfrentan a la tendencia en alza dentro del mundo de la empresa, el llamado BYOD. El bring your own device es una práctica cada vez más habitual en las compañías de todo el mundo. Los empleados...
Píratas informáticos se apuran a explotar agujero de IE parcheado
Sólo unos días después de que Microsoft parcheara 11 vulnerabilidades en Internet Explorer, los hackers han empezado a explotar una de ellas, según ha advertido Symantec. ...
SEGUNDA EDICION DE CURSO DE HACKING
Os escribo esta noticia para comunicar que ya está en marcha la nueva edicion de mi curso de preparacion de hackers en la Red: http://www.internet.com.uy/darkhis/curso_2...
Varios Bugs en Windows XP SP2
Dos fallos recientemente detectados, podrían permitir que escritores de virus y piratas informáticos, eludan algunas de las nuevas características de seguridad implementadas en el flamante Service Pack 2 de Windows XP, afirman unos investigadores ...
Irán confirma que rechazó un ciberataque
El Ministerio del Petróleo de Irán dijo el martes que sus sistemas de informática no sufrieron daños duraderos de un sospechado ciberataque, pero que sus expertos necesitarían dos a tres días para investigar y abordar el impacto del virus....
Radware advierte ataques DDoS
Las acciones de los hacktivist, los hackers que buscan cambios sociales o económicos, podrían incrementarse en un futuro cercano. Una investigación sobre los ataques DDoS realizados por hacktivist en los últimos meses ha llevado a Radware a avisa...
El rumor del intruso en los servidores de Microsoft
Cómo blanco predilecto de cientos de ataques de quienes buscan nuevas vulnerabilidades tanto en los productos como en los sitios de Microsoft, la noticia del ingreso de intrusos a sus sistemas, siempre es una noticia apetitosa, y muy codiciada por c...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • ingenieria
  • internet
  • inversa
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • parches
  • partir
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra