Un gusano no resuelto por Microsoft enciende todas las alarmas
Microsoft ha lanzado sus actualizaciones de seguridad para el mes de septiembre. Sin embargo, un par de fallos no resueltos han provocado que varios expertos en seguridad se pregunten si la compañía de software se verá obligada a lanzar un parche de emergencia en algún momento de este mes.
Estos expertos en seguridad creen que un fallo no resuelto en el software SMB, Server Message Block 2, que se integra en Windows Vista y Windows Server 2008, podría acabar por convertirse en un importante problema para la firma y en una preocupación para sus usuarios.
El código de prueba de concepto ha mostrado cómo el gusano podría provocar que una máquina Windows se colapse y deje de funcionar. Así al menos lo han mostrado en la lista de correo Full Disclosure que publica Laurent Gaffie. Pero los expertos en seguridad van más allá y creen que podrían producirse ataques aún más serios.
Así, Kostya Korchinsky, investigador senior de seguridad del fabricante de software de seguridad, Immunity, cree que este fallo podría ser explotado para provocar un ataque de alta escala. Sería un ataque de escalado de privilegios, un tipo de ofensiva que se suele utilizar cuando el atacante ya ha encontrado un modo de poner en marcha software en la máquina de la víctima. Así, proporciona al hacker un medio para acceder con los recursos del sistema que, de otro modo, estaría prohibido.
Pero “también podría ser posible, aunque sería mucho más difícil” provocar un peligroso ataque “de ejecución de código remoto”, ha explicado Korchinsky. Con este tipo de ataques, el hacker puede poner en marcha software no autorizado en la máquina de la víctima.
Por su parte, el fabricante de soluciones de seguridad, SourceFire, está también analizando este problema. “No queremos denominarlo DoS, pero tampoco queremos etiquetarlo como un fallo de ejecución de código remoto”, ha declarado Matt Watchinski, responsable de investigación de vulnerabilidades de la firma, refiriéndose a un ataque de denegación de servicio.
SMB 2 suele estar bloqueado por el firewall, de modo que, incluso si estos ataques son desarrollados, tardarían mucho tiempo en expandirse de unas compañías a otras.
Gaffe ha declarado que el fallo suele presentarse más frecuentemente en Windows 7, Windows Vista y Windows Server 2008. Las versiones anteriores de Windows no utilizan SMB 2 y se cree, por tanto, que son inmunes al problema.
Mientras tanto, Microsoft debe aún resolver un fallo en su software IIS, Internet Information Services, que fue descubierto la semana pasada. Se trata de un problema que podría permitir que un atacante bloqueara un servidor IIS o incluso instalar software no autorizado en determinadas configuraciones.
Este fallo podría ser utilizado también en un ataque de ejecución de código remoto, pero únicamente en circunstancias muy específicas. Para que el ataque tenga lugar, la víctima debería poner en marcha el software anterior de IIS 5 en Windows 2000 y permitir al atacante crear un directorio ftp en el servidor.
Aunque Microsoft ha afirmado que ha visto un “número limitado” de ataques, Watchinski ha declarado que no afectará a la mayoría de los usuarios de IIS. Microsoft ha lanzado cinco parches de seguridad este martes, que resuelven ocho vulnerabilidades de Windows. 
