Código de ataque para superficies críticas de errores de Microsoft

Solo horas después de que Microsoft publicó los detalles de un error crítico de Windows, apareció un nuevo código de ataque que explota la falla.

Los desarrolladores de la herramienta de prueba de seguridad Immunity tardaron dos horas en escribir su exploit, luego de que Microsoft publicara un parche para el problema el jueves por la mañana. El software desarrollado por Immunity está disponible solo para clientes de pago, lo que significa que no todos tienen acceso al nuevo ataque, pero los expertos en seguridad esperan que alguna versión del código comience a circular en público muy pronto.

Microsoft dio el paso inusual de apresurar un parche de emergencia por la falla el jueves, dos semanas después de notar una pequeña cantidad de ataques dirigidos que explotaron el error.

La vulnerabilidad no se conocía públicamente antes del jueves; sin embargo, al emitir su parche, Microsoft ha dado a los piratas informáticos y a los investigadores de seguridad suficiente información para desarrollar su propio código de ataque.

El error radica en el servicio Windows Server, utilizado para conectar diferentes recursos de red como archivos e imprimir en una red.. Al enviar mensajes maliciosos a una máquina de Windows que usa Windows Server, un atacante podría tomar el control de la computadora, dijo Microsoft.

Aparentemente, no requiere mucho esfuerzo escribir este tipo de código de ataque.

" es muy explotable ", dijo Bas Alberts, investigador de seguridad de inmunidad. "Se trata de un desbordamiento de pila muy controlable".

Los errores de desbordamiento de pila se producen cuando un error de programación permite al atacante escribir un comando en partes de la memoria de la computadora que normalmente estaría fuera de los límites y luego ejecutar ese comando la computadora de la víctima.

Microsoft ha gastado millones de dólares tratando de eliminar este tipo de defectos de sus productos en los últimos años. Y uno de los arquitectos del programa de pruebas de seguridad de Microsoft tuvo una evaluación franca de la situación el jueves, diciendo que las herramientas de prueba de "fuzzing" de la compañía deberían haber descubierto el problema antes. "Nuestras pruebas de fuzz no captaron esto y deberían haberlo hecho", escribió el gerente del programa de seguridad, Michael Howard, en una publicación del blog. "Así que volvemos a nuestros algoritmos y bibliotecas fuzzing para actualizarlos en consecuencia. Por lo que vale, constantemente actualizamos nuestras reglas y heurísticas de prueba de fuzz, por lo que este error no es único".

Aunque Microsoft advirtió que este error podría usarse para construir un gusano informático, Alberts dijo que es poco probable que ese gusano, si se crea, se propague muy lejos. Eso es porque la mayoría de las redes bloquearían este tipo de ataque en el firewall.

"Solo veo que es un problema en las redes internas, pero es un error muy real y explotable", dijo.