Martes de parches, marzo 2012 – Vulnerabilidad RCE use-after-free de pre-autentificación en ring0

El martes de parches de marzo de 2012 arregla muchas vulnerabilidades en las tecnologías Microsoft. Los parches solucionan una vulnerabilidad particularmente problemática “use-after-free” de pre-autentificación en ring0 para Remote Desktop y DoS, una vulnerabilidad DoS en Microsoft DNS Server y varias vulnerabilidades EoP locales menos críticas.

Me parece que cada vez que una organización pequeña y mediana dispone de una red, los empleados o miembros esperan tener acceso a distancia. Por ende, el servicio Remote Desktop en las organizaciones de estas magnitudes a menudo está expuesto a redes públicas con comunicaciones inseguras, que no están restringidas ni son Redes Privadas Virtuales (VPN). RDP debería utilizarse con credenciales de autentificación fuertes y acceso a redes separado y restringido.

Algunas compañías y organizaciones grandes todavía se protegen en un “castillo fortificado” y dejan RDP accesible para recibir ayuda. El problema es que los ordenadores portátiles y dispositivos móviles que permiten el funcionamiento de RDP se conectan a redes WiFi públicas, como las de cafés, donde el usuario puede configurar una conexión menos segura, exponiendo sus equipos a ataques virtuales. Después, los equipos infectados ingresan al castillo fortificado e infectan desde dentro los sistemas a los que están conectados. Para ayudar a las compañías que podrían tardar en instalar los parches, Microsoft también está ofreciendo una herramienta de protección temporal que agrega una capa de autentificación de redes a la conexión para evitar que se explote la vulnerabilidad.

El otoño pasado, el gusano de RDP Morto atacó los servicios de Remote Desktop expuestos al público en negocios de todos los tamaños al adivinar sus contraseñas por fuerza bruta. ¡Una de las causas principales de su expansión era que las contraseñas de las cuentas de los administradores eran extremadamente débiles y fáciles de adivinar! El problema con el gusano Morto hizo notar los peligros de los servicios RDP inseguros. Por lo tanto, esta vulnerabilidad en Remote Desktop debe parcharse de inmediato. El hecho de que sea una vulnerabilidad use-after-free en ring0 complica la situación, pero el equipo de Microsoft estableció su nivel de severidad en el nivel “1” – lo más probable es que esto no retrase el desarrollo de códigos maliciosos para esta vulnerabilidad. No pospongas la instalación del parche para CVE-2012-0002.

Por último, para los lectores con menos conocimientos técnicos, quisiera explicar lo que es una “vulnerabilidad RCE use-after-free de pre-autentificación en ring0”. Remote Desktop es un servicio de acceso a distancia que permite a la gente conectarse a un sistema Windows de forma remota y abrir una aplicación desde un ordenador que muestra el escritorio del otro ordenador, como si estuvieses frente a él. Por lo general debes iniciar sesión en el sistema para hacerlo, así el sistema tiene una protección básica. Pero esta vulnerabilidad permite que un atacante remoto se conecte al servicio Remote Desktop del sistema mediante la red y atacar el sistema sin iniciar sesión. “Ring0″ sólo significa que el código vulnerable está en la parte más profunda del sistema Windows, el kernel del sistema operativo (la mayoría de las aplicaciones que se ejecutan en un sistema lo hacen en el tercer “anillo” o “ring3”, que es el “modo de usuario”. “Use-after-free” es el tipo de vulnerabilidad que utiliza el exploit, y este tipo de fallas sigue siendo muy difícil de solucionar, como se predijo hace muchos años, aun cuando las revisiones automatizadas de los códigos y la mejora en las prácticas de codificación hayan logrado controlar las vulnerabilidades más tradicionales como los desbordamientos de pila y de montículo. Por último, RCE se refiere al tipo de exploit que permite la vulnerabilidad, o “ejecución remota de código”, lo que significa que un atacante puede enviar al sistema los códigos maliciosos que elija y robar lo que le plazca. Ahí lo tienes, eso es lo que significa “vulnerabilidad RCE use-after-free de pre-autentificación en ring0”

Los servidores DNS de Microsoft gestionan las vulnerabilidades DoS. Como la actividad de los hacktivistas aumentó mucho durante el año pasado, las compañías y proveedores que utilizan este programa deberían apurarse a parchar sus servidores DNS. Los indicios del ataque incluyen la saturación de tus solicitudes de UDP estándar.