Activar los killbits y el índice de explotabilidad, novedades en los boletines de Microsoft


Microsoft está siguiendo una nueva política con la que intenta mejorar sus boletines de seguridad. Este mes ha introducido un nuevo valor llamado índice de explotabilidad (exploitability index) que indica las posibilidades de que se cree un exploit para cada vulnerabilidad. Además, se está proponiendo (por fin) activar el mayor número de killbits posibles para evitar ataques a través de ActiveX vulnerables.





En octubre Microsoft ha incluido por primera vez en sus boletines el "exploitability index", un valor que intenta predecir la posibilidad de que los atacantes creen código capaz de aprovechar la vulnerabilidad. Los valores posibles que asignará Microsoft son:

* Consistent exploit code likely: Es probable la creación de un exploit consistente.
* Inconsistent exploit code likely: Es probable la existencia de un exploit incosistente.
* Functioning exploit code unlikely: Es improbable la existencia de un exploit funcional.

Refiriéndose con "consistencia" a las probabilidades que funcione bajo la mayoría de las circunstancias y la mayor parte de las veces. Esta forma de puntuar el riesgo es exclusiva de Microsoft, y evaluada solo por su parte.

Por ejemplo, en esta última tanda de boletines, se resuelven 20 vulnerabilidades. Según Microsoft 8 tienen posibilidades de que se cree un exploit consistente para ellas, y cuatro son poco probables de ser aprovechadas. Para otras incluso, como el fallo en Windows Printing Service de Internet Information Services (IIS) Web server, se tiene constancia de que están siendo activamente aprovechadas. Para una de las que predijo la posibilidad de un exploit consistente, efectivamente se ha publicado posteriormente código capaz de aprovechar el fallo.

Microsoft sigue resistiéndose sin embargo a añadir a sus boletines el valor CVSS (Common Vulnerability Scoring System) de cada vulnerabilidad. Se trata de un estándar que gradúa la severidad de manera estricta a través de fórmulas establecidas y que ya siguen Oracle y Cisco entre otros. Cuando fue creado en 2005, la compañía apoyó la iniciativa, pero más tarde adujo que su sistema propio de graduación era correcto, y nunca ha terminado de apoyar este estándar.

Por último, destacar que Microsoft últimamente está incluyendo boletines oficiales destinados a activar los killbits de componentes ActiveX, tanto propios como de terceros. Esto es muy positivo. Los ActiveX suelen ser librerías de Microsoft o de terceros que, en muchas ocasiones, sirven de puerta para entrar en el sistema a través de Internet Explorer, gracias a los fallos de seguridad de los propios ActiveX. El peligro está en que el navegador es capaz de invocarlos, aunque no sea realmente necesario para cumplir su función. Al activar el killbit, se asegura que Internet Explorer no puede llamarlos y se anula así un importante vector de ataque. Al difundir esta activación de killbits a través de las actualizaciones oficiales de Microsoft, se aseguran mitigar potenciales problemas con una difusión mucho más extensa que si lo hiciera el propio fabricante del ActiveX.

Aunque es obligación de los programadores de ActiveX ser precavidos y activar ese killbit, en la mayoría de las ocasiones sólo una vulnerabilidad les hace reaccionar. Usar los parches de Microsoft para anular este vector de ataque, puede impedir muchos problemas de manera mucho más rápida y mayoritaria. En esta última tanda de boletines (como medida extra de precaución) se han activado los killbits incluso de ActiveX propios de Microsoft que ya habían sufrido vulnerabilidades y para los que existían parches.

Más información:

Microsoft Exploitability Index
http://technet.microsoft.com/en-us/security/cc998259.aspx

Fuente:
Sergio de los Santos
http://www.hispasec.com



Otras noticias de interés:

Ejecución de código en IE con "createTextRange"
Se ha reportado una nueva vulnerabilidad en Internet Explorer, la cuál ha sido catalogada como crítica, ya que puede ser explotada por personas maliciosas para comprometer el sistema del usuario afectado....
Ejecución remota de código en impresoras multifunción Xerox
Se ha encontrado una vulnerabilidad en el controlador de red/ESS de las impresoras multifunción WorkCentre de Xerox que podría ser explotada por un atacante de la red local para ejecutar código arbitrario en la impresora....
Estafan 33.000 dólares a través de ransomware a diario
Los cibercrimales están haciendo de su actividad todo un arte. Ya no se trata de notoriedad, ni siquiera de ponerse a buscar vulnerabilidades que dejen nuestros secretos al alcance del mejor postor. Y es que extorsionar por Internet se ha convertido...
Nuevo paso hacia la Web Semántica
Cuando Internet comenzó a funcionar en 1991, la Red era poco más que un conjunto de páginas estáticas de texto conectadas entre sí por medio de hipervínculos, algo muy lejos de lo que había imaginado su inventor, Tim Berners-Lee. Ahora el orga...
Cibercriminales se roban unos a otros
Los cibercriminales no sólo están siendo cada vez más sofisticados y creativos en su trabajo, sino que mantienen las URL maliciosas, los ataques de spam y los resultados de búsqueda falsos como sus técnicas más habituales....
Un millón de euros por inventar la Web
“La web está lejos de haber revelado todo su potencial”, sostuvo el científico británico Tim Berners-Lee, quien recibió en Helsink...
Facebook.com bajo ataque de typosquatting
Los atacantes siempre ponen su cuota de originalidad para propagar amenazas y uno de estos casos es la técnica conocida como Typosquatting. Esta, consiste en registrar nombres de dominios similares a otros conocidos o populares, para así obtener tr...
Denegación de servicio en Internet Explorer (ActiveX)
Se ha reportado una vulnerabilidad del tipo denegación de servicio (DoS), en múltiples controles ActiveX incluidos en Microsoft Internet Explorer (IE)....
Linux, en la encrucijada del DRM
¿Debería Linux incluir DRM, es decir, soporte para reproducir contenidos audiovisuales protegidos? La respuesta no es fácil y existen opiniones contrapuestas....
Mozilla Messaging comienza sus actividades
La nueva subsidiaria de correo electrónico de la Fundación Mozilla, acaba de anunciar la puesta en marcha de sus actividades....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • activar
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • boletines
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • explotabilidad
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • indice
  • informatica
  • internet
  • isos
  • killbits
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • novedades
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra