News

US-CERT advierte sobre falla en implementación de ASLR en Windows

El Equipo de respuesta ante emergencias informáticas de los EE.UU., US-CERT, advierte sobre una vulnerabilidad en la implementación de la distribución aleatoria del espacio de direcciones (ASLR) que afecta a Windows 8, Windows 8.1 y Windows 10. Esta vulnerabilidad permite que un atacante remoto tome el control de un sistema infectado.

Microsoft dijo estar investigando el asunto.

El ASLR es una técnica de seguridad informática utilizada por la mayoría de los sistemas operativos de escritorio y moviles. ASLR evita la ejecución de códigos maliciosos que explotan vulnerabilidades en la memoria. Los sistemas operativos iOS, Android, Windows, macOS y Linux la utilizan para la protección de los sistemas.

Con los años, evadir la ASLR se ha convertido en una especie de competencia entre los atacantes y los investigadores en seguridad informática. Sin embargo, este último problema con la ASLR tiene relación con la implementación de ASLR en Windows.

Según Will Dormann, analista experto en vulnerabilidades en CERT, con el lanzamiento de Windows 8 Microsoft introdujo un error en la forma de implementar ASLR en 2012. Desde entonces, afirma Dormann, la vulnerabilidad ha permanecido, llegando a afectar también a Windows 10.

“Windows 8, y versiones posteriores, no aleatorizan correctamente todas las aplicaciones si la ASLR, obligatoria en todo el sistema, se activa mediante EMET o Windows Defender Exploit Guard”, apunta Dormann. En esas condiciones específicas, una implementación inadecuada podría abrir una ventana para que un atacante lance un ataque que explote vulnerabilidades en la memoria.

Microsoft comentó a Threatpost que reconoce este problema.

“El problema descrito por US-CERT no es una vulnerabilidad”. ASLR funciona según su diseño y los usuarios que ejecutan las configuraciones predeterminadas de Windows no corren ningún riesgo. US-CERT descubrió que ocurre un problema cuando Windows Defender Exploit Guard y EMET configuran los ajustes no predeterminados para ASLR, y proporcionó paliativos. Microsoft está investigando y tratará el problema de la configuración como corresponde”, sostuvo Microsoft.

El problema está relacionado con la forma en que ASLR protege contra los ataques. ASLR organiza de forma aleatoria las áreas de memoria donde se ejecutan los programas. En lugar de ejecutarse en áreas predecibles de memoria que un atacante podría anticipar, ASLR aleatoriza el proceso.

Pero lo que Dormann descubrió es que la aplicación errónea de ASLR por parte de Microsoft hace que los programas se trasladen cada vez a direcciones predecibles.

“Tanto EMET como Windows Defender Exploit Guard habilitan ASLR en todo el sistema pero sin habilitar el enfoque ascendente ASLR. Aunque la protección de Windows Defender Exploit tiene una opción para cubrir todo el sistema con el enfoque ascendente de ASLR, el valor predeterminado GUI de “Activado por defecto” no refleja el valor de registro subyacente (desactivado). Esto hace que los programas sin /DYNAMICBASE se trasladen, pero sin ninguna entropía. El resultado es que estos programas se trasladan, pero a la misma dirección cada vez que se reinicia el equipo, e incluso entre diferentes sistemas”, explicó Dormann en un artículo sobre vulnerabilidades para US-CERT.

Dormann dijo que descubrió la vulnerabilidad cuando habilitó el enfoque ascendente de ASLR en todo el sistema en Windows 8. El investigador explicó en Twitter: “A partir de Windows 8.0, el ASLR obligatorio para todo el sistema (habilitado vía EMET) posee cero entropía, lo que básicamente lo inutiliza”.

EMET son las siglas en inglés del kit de herramientas de experiencia de mitigación mejorada, una utilidad que sirve para prevenir la explotación de vulnerabilidades en los programas.

Sobre el impacto de este error de configuración de ASLR, Dormann añadió:

“En Windows 8 y en sistemas más modernos en los que ASLR se habilita en todo el sistema a través de EMET o Windows Defender Exploit Guard, las aplicaciones no dinámicas se trasladarán a un área predecible, anulando así la función básica del ASLR obligatorio. Esto puede facilitar la explotación de algunas vulnerabilidades.

El boletín de US-CERT además indica que aún no se han publicado parches para esta vulnerabilidad. Sin embargo, se dispone de un paliativo que consiste en habilitar el enfoque ascendente de ASLR en todo el sistema en aquellos sistemas que posean ASLR obligatorio en todo el sistema.

Asimismo, Dormann agradece a Matt Miller, ingeniero de seguridad del Centro de Respuesta de Seguridad de Microsoft, por su colaboración. Microsoft respondió a nuestra solicitud de sus comentarios para este informe.

Fuente: Threatpost

US-CERT advierte sobre falla en implementación de ASLR en Windows

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada