[HACK] Microsoft vuelve a crear un parche ineficaz.

Sergio de los Santos s.delossantos at forzis.com
Mon Oct 13 09:10:37 CEST 2003 

13/10/03
Microsoft vuelve a crear un parche ineficaz.

Sergio de los Santos
www.forzis.com

Un grupo de hackers rusos ha hecho público un exploit que vuelve a 
aprovechar el fallo de desbordamiento de búfer en el protocolo RPC de 
Windows. Varios expertos han confirmado en listas especializadas, que el 
programa funciona y es capaz de realizar un ataque DoS (denegación de 
servicio) incluso si el sistema se encuentra actualizado con los últimos 
parches.

El pasado día 11, hackers rusos hacían público en su página un exploit 
universal (válido para todas las versiones de Windows independientemente 
del “Service Pack” instalado) que funcionaba aun en sistemas supuestamente 
actualizados con los últimos parches que Microsoft ha publicado para esa 
vulnerabilidad, descubierta el 16 de Julio en el RPC (Remote Procedure 
Call) y razón de ser del omnipresente virus MSBlaster. RPC es un protocolo 
que proporciona a Windows un mecanismo de comunicación entre procesos para 
que un programa que se está ejecutando en un equipo pueda ejecutar también 
código en un sistema remoto. La facilidad para explotar este problema y 
conseguir ejecutar código arbitrario en la víctima ya estaba reportando 
suculentos beneficios a los hackers maliciosos que buscaban potenciales 
víctimas en el IRC desde finales de julio, cuando se hizo público el 
exploit. Aprovecharse del problema “a mano” conociendo la IP de la víctima 
resultaba trivial. A partir de ahí, surgieron muchas variantes del 
exploit, que hacían incluso más fácil poder ejecutar código en sistemas 
ajenos sin necesidad de poseer demasiados conocimientos.

Poco después de la aparición del parche que solventaba la vulnerabilidad, 
se volvió a descubrir otro fallo en el mismo servicio RPC DCOM tan 
peligroso como el primero, que permitió a otras variantes del virus 
expandirse de forma muy parecida, aunque las víctimas hubiesen parcheado 
su sistema con la primera actualización. Para colmo, se vuelve a descubrir 
una nueva versión del exploit que por ahora, sólo permite realizar un 
ataque DoS.

Microsoft ha programado parches ineficaces muchas veces, pero no hay que 
remontarse muy atrás en el tiempo para encontrar un buen ejemplo. Hace 
sólo unos meses, se alertaba sobre la gravedad de la vulnerabilidad en la 
etiqueta OBJECT. Construyendo una página especialmente manipulada, se 
podía ejecutar código o descargar programas en los sistemas de los que 
visitaran la página con el navegador Internet Explorer. La página 
manipulada podía ser creada de tres formas distintas: Con HTML estático, a 
través de un script o enlazando con XML. El parche acumulativo con el que 
Microsoft pretendía solucionar el fallo, demostró ser ineficaz, pues sólo 
remediaba el error en el caso en que la página estuviese creada con HTML 
estático, y dejaba el campo abierto para que el fallo pudiese ser 
explotado de otras maneras igual de sencillas. Pasó casi un mes hasta que 
Microsoft hizo público el enésimo parche “acumulativo” (con el código 
828750) que permitía solventar los errores que ellos mismos cometieron 
además de tapar otros agujeros. Aun así, muchos expertos alertan de que a 
Internet Explorer le queda muchos agujeros por tapar (algunos afirman que 
hasta 37).

El caso de la etiqueta OBJECT resulta especialmente crítico, puesto que 
Microsoft ha tropezado dos veces con la misma piedra. En Febrero de 2002, 
Greymagic advertía de una vulnerabilidad casi gemela que permitía la 
ejecución de código gracias a la dichosa etiqueta. Microsoft volvió a 
olvidar que las llamadas a esta etiqueta pueden realizarse de varias 
formas, y programó un parche ineficaz, que creaba una sensación de falsa 
seguridad al que hubiese actualizado su navegador, pues seguía siendo 
vulnerable si se topaba con páginas creadas con un poco más de imaginación.

Más información y referencias:

CERT:
http://www.cert.org/incident_notes/IN-2003-04.html

Boletines de Microsoft:
http://www.microsoft.com/security/security_bulletins/MS03-026.asp
http://www.microsoft.com/technet/security/bulletin/MS03-032.asp

Windows XP continúa siendo vulnerable al fallo RPC/DCOM
http://www.vsantivirus.com/10-10-03a.htm

More information about the hacking mailing list