Martes de parches, febrero 2012

Microsoft está lanzando 9 boletines de seguridad este mes (de MS12-008 a MS12-016), con los que parcha un total de 21 vulnerabilidades. Algunas de estas vulnerabilidades pueden permitir la ejecución de código a distancia (RCE) en circunstancias limitadas, y los analistas de seguridad ofensivos dicen que una de las fallas que se está solucionando este mes es explotable desde el lado del cliente, pero no se conoce ningún exploit que lo haga a pesar de que ha estado circulando en Internet por meses.

Las vulnerabilidades que se parchan este mes se encuentran en Internet Explorer, una versión específica de C runtime y .NET framework. Las vulnerabilidades de Internet Explorer y .NET framework pueden hacer que se descarguen exploits al vuelo con ataques “drive-by”, por lo que es primordial que los consumidores y empresas instalen estos parches – es muy probable que se comiencen a explotar de forma masiva mediante paquetes de exploit COTS como Blackhole y otros de su tipo.

Me sorprendí cuando vi que MS12-013 parchaba una vulnerabilidad de desbordamiento de búfer en Microsoft C-runtime. Pero resulta que hay un vector de entrega explotable muy limitado para aplicaciones de Windows , y que las aplicaciones de empresas externas que están conectadas con la biblioteca C runtime no son vulnerables. Aunque es recomendable que se parche esta vulnerabilidad lo antes posible, no es un ataque tan esparcido como parece a primera vista.

Otra vulnerabilidad de la que se está hablando mucho ya se conoce por varios meses. Es la vulnerabilidad de Violación de Acceso GDI que parcha MS12-008. Es interesante porque han estado circulando análisis de causas y pérdida de memoria, así como discusiones sobre cómo los vectores de entrega “deberían” poder explotar Webkit y otros programas de clientes, pero todavía no se ha identificado ningún código exploit. Es muy probable que, si de verdad fuese explotable, ya hubiese aparecido un exploit para esta falla.

Por favor parcha tus sistemas lo antes posible. Aunque la COTS de explotación masiva no incluye ningún ataque de día cero para estas vulnerabilidades, los parches e información general ya son públicos. Los encargados de la parte informática de las organizaciones más atacadas seguramente comprenden que necesitan prestar atención a estos parches, incluyendo el EoP.