Contramedidas prácticas para las últimas vulnerabilidades de Microsoft


Desde estas líneas hemos advertido ya en muchas ocasiones sobre las nuevas tendencias del malware y la cada vez más preocupante aparición de vulnerabilidades "0 day" o problemas de seguridad para los que no existe parche pero sí forma de aprovecharlos. En estos momentos se conocen tres que afectan a productos de Microsoft.





Cansados de ofrecer una descripción más o menos rutinaria de las vulnerabilidades, en esta
ocasión nos centraremos en cómo mitigar sus efectos o eliminarlos por
completo. Como siempre, sin demasiado esfuerzo y sin esperar
pasivamente parches, es posible minimizar el riesgo.

Es un hecho que los creadores de malware programan la aparición
de vulnerabilidades estratégicamente para que Microsoft no pueda
publicar un parche los días previstos (los segundos martes de cada mes).
Intentan así maximizar el impacto de sus códigos. De hecho, ahora mismo
se le acumula el trabajo y Microsoft mantiene tres vulnerabilidades
críticas sin parchear, aunque el día 12 tuvo la oportunidad de hacerlo
por lo menos en una de las que a continuación se describen. Ante esta
ausencia de actualizaciones, casi siempre es posible aplicar sencillas
contramedidas que permitan a los usuarios de estos productos sentirse
un poco más seguros.

La primera vulnerabilidad fue descubierta el día 5 de septiembre.
Se advirtió que circulaba un documento en formato Word que, al
abrirse con Office 2000, permitía la ejecución de código arbitrario.
Esta vulnerabilidad supone el último problema de una larga lista que
sufre la suite ofimática desde hace meses. El fallo pudo ser corregido
el día 12 de septiembre, pero Microsoft no lo hizo y no se prevé que
aparezca un parche hasta al menos el día 10 de octubre. Para este
problema, una de las soluciones es utilizar el visualizador de
Microsoft, Viewer 2003. Esta herramienta de 12 megas permite visualizar
(pero no editar) los documentos de los que sospechemos. Otra solución
posible es utilizar la alternativa libre y gratuita OpenOffice.org, por
ahora (y hasta que por volumen de usuarios suponga un jugoso objetivo),
libre de tantas vulnerabilidades descubiertas.

El segundo problema de seguridad "0 day" afecta a Internet Explorer. Fue
descubierto el día 13 de septiembre, y se publicó directamente la forma
de explotarlo, aunque no parece que está siendo aprovechado de forma
masiva. El fallo afecta al control ActiveX daxctle.ocx. Para solventar
este problema es posible deshabilitar la actividad del control en el
navegador, inhabilitándolo desde el registro para que Internet Explorer
no pueda instanciarlo.

Esto se consigue guardando el siguiente texto en un archivo con
extensión .reg y ejecutándolo con privilegios de administrador:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX
Compatibility\{D7A7D7C3-D47F-11D0-89D3-00A0C90833E6}]
"Compatibility Flags"=dword:00000400

ISC SANS ha puesto a disposición de todos una herramienta automática
que realiza la misma acción. Los enlaces están más abajo.

Por último, el día 18 de septiembre se ha descubierto otro grave
problema de seguridad en Internet Explorer que está siendo aprovechado
de forma activa y permite la ejecución de código. El problema está
basado en la funcionalidad VML (Vector Markup Language) del navegador.
Esta vulnerabilidad se puede mitigar deshabilitando JavaScript de las
zonas en las que no se confía.

Para deshabilitar todo control ActiveX o JavaScript cómodamente, se debe
ir a la pestaña de "seguridad" desde las "opciones de Internet" y elevar
a "alta" la seguridad de la zona "Internet". Esto permite que por
defecto, todas las páginas se visiten sin JavaScript o ActiveX, acción
que eleva sustancialmente la seguridad del navegador. Si alguna página
de confianza deja de funcionar o no se puede interactuar con ella de
forma adecuada, basta con incluir su dirección en los "sitios de
confianza".

Este sencillo mecanismo para diferenciar el comportamiento del navegador
según las páginas es poco utilizado pero muy útil en una aplicación tan
"atacada" como Internet Explrer. Microsoft puede presumir de haber
incluido esta característica de serie en el navegador desde sus primeras
versiones. Opera no lo ha hecho hasta su versión 9 y Firefox permite
desactivar JavaScript selectivamente según dominios a través de la
extensión NoScript. Esta extensión resulta imprescindible, pues Firefox
también ha sufrido graves y numerosos problemas de seguridad disparados
a través de este lenguaje.

Por supuesto, muchos antivirus también protegen del intento de
aprovechar estas vulnerabilidades, pero las actualizaciones y firmas no
siempre están disponibles a tiempo.

Más información:

Killbit apps for current IE Exploit
http://isc.sans.org/diary.php?storyid=1706&rss

Word Viewer 2003
http://www.microsoft.com/downloads/details.aspx?familyid=95E24C87-8732-48D5-8689-AB826E7B8FDF&displaylang=es

Vulnerability in the Microsoft DirectAnimation Path ActiveX Control Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/925444.mspx

Vulnerability in Word Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/925059.mspx

Seen in the wild: Zero Day exploit being used to infect Pcs
http://sunbeltblog.blogspot.com/2006/09/seen-in-wild-zero-day-exploit-being.html

Fuente:
Sergio de los Santos
hispasec.com



Otras noticias de interés:

VaSlibre tiene PLANETA!
Los amigos de VaSlibre colocaron online nuevamente al Planeta de noticias del Grupo, (http://planeta.vaslibre.org.ve/)...
Explotando la vulnerabilidad en Firefox 3.5
Desde el sitio rinconinformatico.net, Epsilon (el cual aclara al principio del texto:quiero dejar muy en claro que este es un laboratorio informativo, es decir, un laboratorio de prueba de concepto) explica de una forma bastante sencilla como se pued...
El mes de los fallos en PHP ha desvelado ya 18 vulnerabilidades sin parche
El mes de los fallos en PHP ha publicado ya 35 vulnerabilidades en 28 días. 30 de ellos han sido encontrados en PHP, tres en la plataforma Zend y una en el módulo mod_security de Apache (los que el propio autor llama bonus). Afortunadamente...
El downloader más pequeño del mundo
Gil Dabah ha propuesto un desafío que consiste en crear el downloader (descargador automático) más pequeño posible para Windows. Por ahora, ha conseguido un ejecutable de 304 bytes capaz de descargar un archivo desde Internet y ejecutarlo...
¿Por qué no se han superado las contraseñas cognitivas?
Hace unas semanas, Apple decidió mejorar la seguridad de las contraseñas de sus Apple ID. Me obligaron a cambiar mi contraseña por una más robusta, y a introducir un correo de apoyo. Pero también me hicieron preguntas para poder recuperarla en c...
Nueva versión Sabayon Linux 3.5
Se encuentra disponible la versión 3.5 de Sabayon Linux, una excelente distro de origen italiano basado en Gentoo....
Vulnerabilidad para DirectX (7x, 8x, 9x)
El impacto es catalogado de bajo y puede ser usado en forma remota. Los sistemas operativos afectados son: Microsoft Windows 2000 Datacenter Server Microsoft Windows 2000 Advanced Server Microsoft Windows 2000 Professiona...
Safari con do-not-track
Una de las características que más se alabó de Internet Explorer 9 fue la inclusión de una característica que permite evitar que determinados grandes hermanos (la gran G o la gran F, por poner dos ejemplos) puedan rastrear nuestra información. ...
Detención por estafa en subastas online de componentes informáticos
Agentes del Cuerpo Nacional de Policía, pertenecientes al Grupo de Delincuencia Económica de la Comisaría Provincial de Alicante, han detenido a una mujer como supuesta autora de delitos y estafa cometidos a través de Internet. ...
Congreso de EE UU pospone la ley SOPA hasta encontrar consenso
Dos noticias sucesivas en torno a la ley SOPA contra la piratería en EE UU. El Congreso ha anunciado que congela su votación hasta encontrar consenso. Pocas horas antes, el republicano Lamar Smith, promotor de la misma, había anunciado que propond...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • contramedidas
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • practicas
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • ultimas
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra