lunes, octubre 27, 2008

Remakes

No hay nada peor que cuando se hace un remake de una película en la que lo único que se consigue es destrozarla... ¡para eso no la hagas esquimal! Es cierto que siempre habrá amantes/detractores de la nueva película, pero lo que está claro es que si se hace un remake es para aportar algo nuevo. Así, remakes como "El Planeta de los Simios" o "King Kong" aportan modernidad a historias clásicas, pero supongo que todos tenéis en la cabeza algunos remakes más malos que la madre que parió al topo.

En el caso de las noticias y los blogs, se produce el efecto del "teléfono escacharrado" uno lee en diagonal, interpreta y saca su noticia. Este proceso debe ser acompañado de la introducción de nuevas faltas de ortografía, la sustitución de protagonista y el aderezamiento de términos del estilo “cómo ya anticipamos aquí…”, o “cómo bien dije…”, etc…

En el caso del último parche de Spectra me había apuntado la obligación de comentarlo, cuando me llegó la solución para no currar caída en el inbox, … así que, cómo yo no lo voy a escribir mejor ni tan bien, y seguramente voy a cometer más faltas de ortografía, he decidió sustituir el nombre público de la compañía por el auténtico y dejar plasmada la información aquí tal como salió de sus deditos. Tuve que entregar el objeto secuestrado en cuestión, pero he conseguido que por fin, pajarraco siga la línea editorial de El Lado del mal.

Por cierto… ¿mañana hace diez años de algo, no?

Saludos Malignos!

Último parche de Spectra: ¿Sufriremos otro Blaster?... No.
Una la día: 24/10/2008

El día 23 Spectra publicó un parche fuera de su ciclo habitual, de carácter crítico, en el que se solucionaba un problema de seguridad en el servicio Server de las distintas versiones del sistema operativo Windows. Avisó con un día de antelación. Hoy, el exploit ya es público. Las características de la vulnerabilidad hacen que sea "ideal" para ser aprovechado por un gusano tipo Blaster, que se convirtió en epidemia en 2003. ¿Podría pasar lo mismo con este fallo?

En julio de 2003 se descubre el desbordamiento de memoria intermedia en la interfaz RPC de sistemas Windows que, a la postre, permitiría la aparición del fatídico gusano Blaster. Otro fallo parecido un año después propició el nacimiento de Sasser, otro popular gusano. El último parche publicado por Spectra de forma urgente, el MS08-067, tiene las mismas características: un desbordamiento de memoria intermedia en el procesamiento de peticiones RPC (Remote Procedure Call) que efectúa el servicio Server. ¿Se creará otro gusano parecido?

Lo que hace que esta vulnerabilidad sea especialmente peligrosa, es que es explotable de forma remota sin interacción del usuario: un atacante envía una petición especialmente manipulada a un puerto, y ya puede ejecutar código en el sistema con los máximos privilegios. Candidato ideal para un gusano "como los de antes". De ahí que Spectra, con buen criterio, se haya lanzado a romper su ciclo habitual. Quizás motivado porque el fallo ha sido descubierto cuando ya se estaban produciendo ataques muy concretos. No a gran escala, pero sí que se han detectado incidentes que demostraban que los atacantes conocían el problema y lo estaban aprovechando en secreto. La última vez que Spectra publicó una actualización de seguridad fuera de su ciclo habitual de actualizaciones fue el 3 de abril de 2007.

El último problema de este tipo (explotable enviado peticiones a un servicio) se vio hace más de dos años. Lo trataba el boletín MS06-040 y también afectaba al servicio Server (de hecho este nuevo boletín lo reemplaza). Se hizo público el exploit y hubo malware que lo aprovechaba, pero no fue epidemia. En este caso pensamos que tampoco se convertirá en el problema que antaño suponían estas vulnerabilidades. Por varias razones.

¿Por qué creemos que el potencial gusano no se convertirá en epidemia?

Spectra cometió enormes y numerosos fallos de seguridad de este tipo en el pasado. Los gusanos de infección masiva campaban a sus anchas. Pero intentó solucionarlo a través de varios métodos. Primero con su nueva estrategia de seguridad anunciada hacia 2002. Desde entonces (tarde quizás) la seguridad sería prioridad. El problema es que, sobre una base tan débil, los resultados han tardado en observarse... pero están ahí. Por ejemplo, sobre Vista y Windows 2008 esta última vulnerabilidad no es crítica sino sólo "importante", que no es poco. En las últimas versiones de Windows el atacante debe estar autenticado para poder hacer que el exploit ejecute código. Si no, sólo se provocará una denegación de servicio.

Con el Service Pack 2 de Windows XP se activa el cortafuegos entrante por defecto. Esto mitiga enormemente las posibilidades de explotación de este tipo de fallos. De hecho, desde que el Sevice Pack fue lanzado en agosto de 2004, el malware se trasladó al navegador. Al no poder aprovechar fallos en los servicios por culpa del cortafuegos, necesitaban colarse en los sistemas de otra forma, e Internet Explorer sufrió la consecuencias. Todavía hoy es la forma favorita del malware de ejecutar código. Por si fuera poco, hoy en día, los usuarios están más que nunca detrás de un router casero que protege, en principio, los puertos del ordenador.

También, con XP, Spectra introdujo una considerable mejora: muchos de los servicios por fin no se ejecutaban bajo el contexto del usuario más poderoso, SYSTEM. En Windows 2000, por el contrario, todos los servicios corrían con los máximos privilegios. Aunque para el caso esta medida no sirve. Svhost.exe y services.exe corren en XP y 2000 bajo los permisos de SYSTEM. Por otro lado, a partir de Vista el ASLR (Address Space Layout Randomization) impediría en buena medida también la ejecución de código.

Otro aspecto que mitiga el potencial problema es que Spectra ha liberado el parche antes de que se haga público el exploit. En 2003 con Blaster ocurrió también. El parche estaba disponible un mes antes de que apareciera el gusano. Pero los usuarios tenían otra cultura. Hoy en día, aunque no demasiado, la educación sobre seguridad es mayor. Las actualizaciones automáticas también ayudan bastante.

El fallo puede ser más grave en empresas. Si un sistema se infecta con un gusano que aproveche esta última vulnerabilidad, es muy probable que pueda acceder a los puertos de otros ordenadores de la misma red sin que se vea bloqueado por cortafuegos. Sobre todo si la red no está convenientemente segmentada. Los administradores de grandes redes corporativas deben estar especialmente atentos a este boletín y parchear lo antes posible. También los que compartan recursos del sistema en una red interna o hacia el exterior.

Aunque parece que se han observado reportes de que el fallo se está aprovechando desde hace tres semanas, la actuación de Spectra ha sido rápida. Detectar y analizar el problema lleva tiempo. Muchos analistas prestigiosos se han aventurado en el pasado a calificar de nuevos fallos problemas ya conocidos que ,simplemente, estaban siendo aprovechados a través de otro vector de ataque. Además hay que añadir el tiempo de comprobación del parche. Es un proceso que Spectra se toma con cuidado y tres semanas no es un tiempo descabellado. Esperemos en todo caso que la actualización corrija por completo la vulnerabilidad y que no se detecten problemas de estabilidad.

Por último, las casas antivirus están trabajando incansablemente para detectar potenciales exploits y el malware que lo acompaña. Estos fallos alcanzan gran repercusión y no pueden permitirse el lujo de no crear firmas específicas para bloquearlos. Aunque el volumen de malware a tratar sea infinitamente mayor, el número de actualizaciones de firmas es mayor que en 2003. En ese año, actualizar cada varios días era normal, mientras hoy casi todos los antivirus actualizan las firmas varias veces al día.

En definitiva, el fallo es grave, es necesario actualizar ya. Sin excusas. No se han reportado problemas de estabilidad con el parche. Pensamos que sería muy raro que se produjese una epidemia como la de 2003. Aunque los índices de infección de malware son hoy mayores que nunca, al menos no son gracias a este tipo de errores tan "sencillos" de explotar.

Sergio "pajarraco" de los Santos

4 comentarios:

  1. Ya leí la entrada en hispasec cuando salió y hombre... Considero que se exponen situaciones circunstanciales.

    Que el firewall venga por defecto no garantiza mucho, ya que mucha gente lo apaga a la que le molesta un par de veces, el tema de los routers, de la información de la gente, hará que sean menos los sistemas vulnerables, pero no 0.

    Que en Vista sea "importante" está muy bien, pero el porcentage de ordenadores con XP aún es muy superior y como se dice, en empresas puede ser un drama.

    Vamos, que yo no haría esfuerzos por quitarle importancia al bichito y sí por informar de su peligrosidad, que alarmar de vez en cuando a la población diciéndoles que viene el lobo no está mal, que así espavilan :)

    ResponderEliminar
  2. Nada nada, que esto es una tonteria que no tendra consecuencias, porque para windows vista solo es "importante", bastante por debajo del "OMGWEAREDOOMED!" que es para ese OS obsoleto y residual que es el XP.

    ResponderEliminar
  3. Tayoken, como bien dices, se dan un cúmulo de circunstancias que mitigan la aparición de un gusano tipo Blaster. No hay un factor decisivo sino que entre todos, se consigue bajar las posibilidades de la epidemia. Simplemente he recordado algunos.

    En ningún caso, y eso sí espero que quede claro, le quito importancia. El último párrafo no puede ser más claro: "En definitiva, el fallo es grave, es necesario actualizar ya. Sin excusas."

    El artículo se centra en la aparición de un gusano epidémico, no de que no vaya a "venir el lobo" en forma de ataques más sofisticados y "silenciosos". Pero creo que no vendrá como gusano.

    Y no... lamentablemente se ha gritado que viene el lobo en muchas ocasiones, ha venido y se ha instalado con todas las comodidades... y jamás ha espabilado el grueso de los usuarios....

    Para anónimo: Los usuarios de Vista y 2008, con su X% de uso (sea cual sea) no sufren tanto riesgo. Tan simple como eso. Lo de que por ello esta vulnerabilidad “es una tontería que no tendra consecuencias" es algo que añades tú no sé muy bien por qué.

    ResponderEliminar
  4. Llegue o no llegue a causar grandes estragos, yo ya tengo a mi granja bien actualizadita,^^'

    Lo realmente curioso es lo poca importancia que le siguen dando algunas empresas a la criticidad de este tipo de cuestiones hoy día... supongo que a parte de los usuarios que por desconocimiento dejan pasar estas cuestiones, estas empresas son otro foco de distribución a gran escala...vamos a ver en queda todo esto! :)

    ResponderEliminar