|
Mejoran exploit que afecta al kernel de Windows
|
|
VSantivirus No 2628 Año 11, jueves 31 de enero de 2008
Mejoran exploit que afecta al kernel de Windows
http://www.vsantivirus.com/31-01-08.htm
Por Angela Ruiz
angela@videosoft.net.uy
El exploit para la vulnerabilidad que afecta al protocolo TCP/IP en Microsoft Windows, sigue dando que hablar. La vulnerabilidad se produce porque el kernel de Windows realiza una validación insuficiente cuando almacena el estado de las solicitudes IGMP que procesa TCP/IP.
TCP/IP es el conjunto de protocolos de comunicaciones que se usa para transmitir datos a través de las redes.
IGMP es el protocolo de administración de grupo de Internet, que se utiliza para la comunicación entre un solo emisor y múltiples receptores en una red (IPv4).
Hace una semana, publicábamos que Immunity Inc., la compañía creadora del software CANVAS, utilizado para pruebas de penetración, había actualizado su herramienta para hacer pruebas valiéndose de la vulnerabilidad mencionada.
Esta semana, una versión mejorada del exploit, demuestra que la vulnerabilidad es altamente explotable, a pesar de lo que afirma Microsoft. Aún así, Immunity reconoce que este nuevo exploit no es 100% confiable.
En una animación en Flash colgada en el sitio de Immunity, se puede apreciar el exploit en acción. Allí se puede comprobar como dos equipos con Windows XP SP2 sin el parche publicado en el boletín MS08-001, son comprometidos a pesar del firewall de Windows, activo en ambas máquinas, demostrando la posibilidad de ejecución remota de código.
Es posible que esta ejecución se realice en el contexto del kernel de Windows, lo que podría ser especialmente crítico en Windows Vista, ya que un usuario remoto podría introducir código aún a pesar de las restricciones para ejecutar comandos a ese nivel de forma local (aún siendo administrador del PC). Y además, sin ningún tipo de autenticación.
Lo cierto es que las posibilidades de sacar provecho de este problema para introducir troyanos y rootkits en los sistemas de los usuarios que no han instalado el parche del boletín MS08-001, aumentan enormemente.
Es muy probable que en los próximos días (o tal vez horas), alguien cree una forma de explotar esto por medio de un malware, comprometiendo a miles de equipos en pocos minutos.
Es de vital importancia que los usuarios de Windows Vista y Windows XP, actualicen a la brevedad su sistema instalando los últimos parches, especialmente el descrito en el boletín MS08-001.
Relacionados:
Demostración en Flash:
http://immunityinc.com/documentation/ms08_001.html
MS08-001 Ejecución de código vía TCP/IP (941644)
http://www.vsantivirus.com/vulms08-001.htm
Exploit para primera vulnerabilidad de Windows en 2008
http://www.vsantivirus.com/23-01-08.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|