Actualizaciones de Microsoft, noviembre de 2013: desintegrando la vulnerabilidad de día cero

El martes de parches de Microsoft de este mes nos ha traído un grupo de tres vulnerabilidades críticas y cinco boletines clasificados como “importantes”. Los parches MS13-088 de este mes solucionan ocho vulnerabilidades críticas y dos importantes en Internet Explorer. En total, Microsoft aborda 19 problemas de seguridad en Internet Explorer, Office y Windows.

La estrella del espectáculo es MS13-090, que parcha CVE-2013-3918, una vulnerabilidad de ActiveX que se está atacando mediante Internet Explorer. El 8 de este mes, los chicos de FireEye revelaron que se la estaba utilizando en una operación de Herramienta Avanzada de Empaquetado (APT) que llamaron “DeputyDog”. Como parte de esta operación, el grupo mostraba otro sitio web cuidadosamente escogido y redirigía a sus visitantes a su ataque de día cero. Llamarlo “un ataque de regadera más” no llega a describir la magnitud de su organización y la preparación que implica escoger el sitio web idóneo para comprometer y después quemar la vulnerabilidad de día cero durante el ataque. La identidad de la propiedad web comprometida en este caso no se ha hecho pública. Los tiempos de distribución de esta vulnerabilidad de día cero también podrían revelar la madurez de este grupo. Por otro lado, no sé si he olvidado algo, pero en alrededor de una década que llevo revisando técnicas de codificación de shells, no creo que haya visto que se utilice “CreateRemoteThread” para distribuir la carga explosiva en un exploit importante.

Asimismo, MS013-088 soluciona otras ocho vulnerabilidades en Internet Explorer. Las organizaciones deben parcharlas sin pensarlo dos veces, ya que los problemas de corrupción de memoria son una invitación al desarrollo de exploits. Algunos de los ocho CVEs incluyen problemas con “publicación de información”, lo que hace que los desarrolladores de exploits puedan avanzar más en el espacio de los procesos, y son problemas graves.

Me sorprende que Microsoft parche códigos en su conversor de WordPerfect “wpft532.cnv” para el problema de desbordamiento de pila CVE-2013-1324. Esta vulnerabilidad permite los ataques spearphish en todas las versiones de su sistema operativo, pero en las plataformas de 64 bits puede que el componente no esté presente. No esperaba escribir sobre desbordamientos de pila en su código a finales del 2013, pero vale, son cuestiones complicadas.

Puedes encontrar más sobre los parches de este mes en el sitio de Microsoft