Firma de Seguridad: Microsoft liberó Parches Silenciosos


Microsoft solucionó calladamente tres vulnerabilidades el mes pasado, dos de ellas que afectan a servidores de correo Exchange de misión crítica para las empresas, sin señalar las fallas en los boletines que los acompañan, dijo hoy un experto en seguridad.





Dos de las tres vulnerabilidades no anunciadas, y las más serias del trio, fueron empaquetadas con MS10-024 , una actualización para Exchange y el Servicio SMTP de Windows que Microsoft publicó el 13 de abril y calificó como 'importante', su segunda calificación de amenazas en orden de importancia.

Según Ivan Arce, jefe de tecnología de Core Security Technologies, Microsoft solucionó las fallas, pero omitió divulgar que lo había hecho.

"Son más importantes que las [dos vulnerabilidades] que Microsoft si divulgó," dijo Arce. "Eso significa que los administradores [de sistemas] pueden terminar tomando las decisiones equivocadas respecto de la aplicación de la actualización. Ellos necesitan esa información para evaluar el riesgo." El investigador Nicolás Economou descubrió las dos fallas no mencionadas mientras investigaba la actualización, parte de sus tareas como escritor de exploits para Core, que es mejor conocida por su framework de pruebas de penetración Core Impact, un sistema para sondear en computadoras y redes vulnerabilidades potenciales mediante el ataque con exploits reales.

Un atacante puede apoyarse en las dos vulnerabilidades previamente no divulgadas y reparadas por MS10-024 para simular respuestas a cualquier consulta de DNS enviadas por el servicio SMTP de Windows trivialmente," dice Core en su propio boletín respecto del descubrimiento de Economou. "Las respuestas falsificadas de DNS y los ataques de envenenamiento de caché se sabe bien que tienen una variedad de implicaciones de seguridad con un impacto que va más allá de sólo una Denegación de Servicio (DoS) y Divulgación de Información tal como se afirma en MS10-024."

El envenenamiento de caché de DNS es una táctica de ataque desde hace tiempo --ya lleva cerca de dos décadas-- pero probablemente es más conocida por la vulnerabilidad crítica en el software de Sistema de Nombres de Dominio (DNS) descubierta por Dan Kaminsky en 2008.

Los parches secretos no son ni nuevos ni raros. "Han estado por muchos años y la acción en y por ellos no es una gran conspiración," dice Andrew Storms, director de operaciones de seguridad de nCircle Security. Lo que es inusual es que Core haga públicas las actualizaciones silenciosas de Microsoft.

Deciendo que Microsoft "distorsionó" y "subestimó" la criticidad de MS10-024 porque no reveló las dos fallas, Core urge a los administradores a "considerar re-evaluar las prioridades de instalación del parche."

Core encontró una tercer falla no declarada el 13 de abril en otra actualización, MS10-028 . Ese parche soluciona dos fallas en Microsoft Visio, el software para diagrama de proyectos de la compañía.

Microsoft reconoció que solucionó fallas sin decirle a los clientes, pero defendió esta práctica.

"Cuando se descubre una vulnerabilidad, Microsoft realiza una profunda investigación de esa vulnerabilidad, se ocupa de cualquier otro problema que se encuentre en el código como resultado de esa investigación y somete a la actualización de seguridad a amplias pruebas de garantía de calidad", dice Jerry Bryant, administrador del programa de seguridad, en un correo electrónico. "Esto ayuda a reducir el número de actualizaciones que deben realizar los clientes, ya que las actualizaciones pueden ser perjudiciales en los entornos de los clientes."

Si una falla descubierta internamente requiere una acción separada o una orientación que todavía no es cubierta por otras vulnerabilidades en el boletín, "definitivamente documentaremos y solucionaremos esa vulnerabilidad separadamente," dijo Bryant.

La verdad es que estos son asuntos usuales no solo para Microsoft, sino para la mayoría de los fabricantes de software, dijo Storms. "Los proveedores comúnmente encuentran fallas por si mismos en el código publicado y distribuirán los arreglos en un paquete con otros parches," señaló. "Muchas veces sencillamente no hay beneficio alguno para nadie en divulgar la falla."

De hecho, la política de Microsoft es no asignar CVEs -- indentificadores de fallas registrados en la base de datos de Vulnerabilidades y Exposiciones Comunes -- a las fallas encontradas por sus propios investigadores, dijo Storms. "No es requisito para un proveedor solicitar un CVE para fallas internas," dijo.

Pero Storms se hace eco de la preocupación de Arce sobre el posible mal uso de esta práctica, la cual podría resultar en una falsa sensación de seguridad entre los usuarios. "Lo que está en cuestión aquí es si el vendedor distorsionó el riesgo y por lo tanto creó una falsa sensación de letargo con respecto a la prioridad de distribución de parches," dijo. "Por ejemplo, si un parche para IE8 calificado como 'moderado' por Microsoft en verdad contiene una falla crítica descubierta internamente, ¿podría la menor calificación poner en riesgo a los clientes porque sienten que pueden demorar la distribución del parche, no teniendo idea que oculta un parche crítico?"

Arce argumenta que es exactamente lo que hizo Microsoft en el caso de MS10-024. "Arreglaron una vulnerabilidad muy parecida en MS08-037 hace dos años," dijo, refiriéndose al parche crítico de 2008 que cerraba las vulnerabilidades de DNS descubiertas por Kaminsky ."Si no fue una vulnerabilidad entonces, ¿porqué emitieron un boletín de vulnerabilidad?" pregunta Arce. "No tienen una forma razonables de decir que este no es un problema de seguridad."

"No hay una respuesta simple para el proveedor o el cliente," dice Storm. "Si el proveedor distribuye una parche crítico pero con poca información, como Adobe por ejemplo, estaremos martillando sobre el proveedor en busca de mayor información. Por otra parte, dado la carga de trabajo en los equipos de seguridad de las empresas necesitamos confiar en las calificaciones del proveedor para ayuda a determinar la prioridad."

Los boletines de Core sobre los parches silenciosos de MS10-024 y MS10-028 están disponibles en su sitio Web.

Fuente Original:
Autor: Gregg Keizer
PC World

Fuente:
Por: Raúl Batista - Segu-Info
http://blog.segu-info.com.ar



Otras noticias de interés:

Los venezolanos, los más piratas de software
Venezuela es el país de América Latina con la tasa más alta de piratería de programas informáticos, un 87%, según el estudio mundial que Business Software Alliance (BSA) acaba de publicar....
Un estudio analiza los ataques informáticos en los últimos siete años
Trusted Strategies, en colaboración con Phoenix Technologies han publicado un estudio basado en los procesos judiciales relacionados con los ataques informáticos documentados desde 1999 hasta 2006. La novedad de este análisis radica en el hec...
Porno con troyano para Android
Clasificado como Trojan-SMS, se ha descubierto un nuevo malware en los móviles basados en la plataforma de Google que hace que llamen a números Premium sin el consentimiento del usuario....
Grave fallo de seguridad en Android 2.2
Se ha descubierto un fallo de seguridad en el sistema operativo para teléfonos Android 2.2 que podría permitir a un atacante obtener cualquier fichero del usuario almacenado en el teléfono si la víctima visita una web especialmente manipulada....
5 razones para tu privacidad en Internet
¿Le darías tu número de teléfono a un desconocido? ¿Le enseñarías tus fotos de las vacaciones a tu jefe? En la vida diaria tenemos muy claro dónde están los límites y lo que vale nuestra privacidad. La protegemos por una cuestión de intimi...
Solucionada grave vulnerabilidad en diversas suites ofimáticas libres
El investigador Timothy D. Morgan de la firma VSR Security ha descubierto una vulnerabilidad (CVE-2012-0037) en el componente libraptor utilizado por diversas suites ofimáticas de tipo libre/GNU para interpretar documentos XML bajo el formato Open D...
El efecto túnel cuántico podría darnos WiFi a 60GHz
Un diodo que permite el transporte de electrones vía efecto túnel cuántico podría ser la base para el reemplazo de los chips semiconductores. Motorola ha validado las pruebas de alta velocidad realizada sobre estos diodos para su aplicación en i...
El gusano Sober ataca de nuevo
Win32/Sober.L, la última versión de una de las familias de virus de mayor reproducción del 2004, fue detectada este lunes 7 de marzo. NOD32 fue capaz de detectarlo automáticamente a través de su Heurística Avanzada....
Ofrecen recompensa por hacking de Xbox
El programador que logre hacer que Linux funcione legalmente en la consola de juegos Xbox de Microsoft podrá cobrar 200.000 dólares de premio. ...
Aprovechada vulnerabilidad conocida en Java
Un fallo en Java que fue publicado en diciembre del año pasado, está siendo aprovechado por atacantes....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • firma
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libero
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • parches
  • pgp
  • php
  • sabayon
  • seguridad
  • silenciosos
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra