Martes de parches, septiembre 2011

Microsoft lanzó sus parches de este mes con recomendaciones de seguridad menos urgentes en general. Aunque las vulnerabilidades sobre el servidor y de Sharepoint son interesantes, tanto los expertos en TI como los usuarios individuales deberían dar prioridad a las vulnerabilidades de Excel. Microsoft también está zanjando todos los problemas relacionados con la autoridad de certificación Diginotar al agregar los certificados raíz con firmas cruzadas de Diginotar a su base de certificados que no son de confianza (Microsoft Untrusted Certificate Store).

Sólo se están distribuyendo cinco boletines de seguridad junto a las adiciones y actualizaciones de los certificados de Diginotar. Ninguno está categorizado como “Prioridad 1 de implementación”. Sin embargo, en vista de los ataques dirigidos y spearphishing, se puede debatir que el más relevante e importante de los boletines es el relacionado con Excel, MS11-072. Aunque se lo categoriza como “Importante”, no todas las empresas han instalado la última versión de Excel en todos sus sistemas. La aplicación está plagada de vulnerabilidades “use-after-free” y otras vulnerabilidades de corrupción de montículos que son muy difíciles de descubrir con frameworks de auditorías automáticas. Estas vulnerabilidades se pueden explotar para ejecutar los programas espía, puertas traseras y descargadores que el atacante quiera en los sistemas de la víctima. Los archivos adjuntos y enlaces de Excel en correos electrónicos se han estado utilizando con frecuencia en ataques dirigidos a organizaciones, y esto debe solucionarse.

Excel puede causar serios problemas. La intrusión a RSA, en la que se usó el archivo “2011 Recruitment Plan.xls”, dejó muy claro cómo se utilizan los métodos de ingeniería social para engañar a los empleados, y es importante recalcar que el mensaje infectado se recuperó de la carpeta de spam para abrirlo. Este archivo adjunto de Excel tenía integrado contenido Flash malicioso y explotaba la vulnerabilidad delante del empleado cuando lo abría, iniciando su ataque de ciberespionaje. Los atacantes no necesitan integrar contenido Flash para aprovecharse de la dependencia de Excel de los empleados.