Microsoft Windows permite carga las DLLs en forma insegura

La alerta de seguridad TA10-238A publicada la semana pasada por US-CERT http://bit.ly/cC2n99 confirma la información que comenzó a circular hace 15 días; existe una vulnerabilidad en una de las forma en que Windows permite carga las DLLs.

Esto nada tendría de diferente a las cientos (probablemente miles) de alertas publicadas desde que se empezó a hacer un seguimiento riguroso de los bugs encontrados en los sistemas operativos y aplicativos más difundidos si no fuera por la vaguedad de su definición y la complejidad de la resolución propuesta.

No se trata de aplicar un parche al sistema operativo o a una o dos aplicaciones en particular, ya que la definición de las aplicaciones afectadas dice:

"Any application running on the Microsoft Windows platform that uses dynamically linked libraries (DLLs) may be affected."

Es decir, puede ser vulnerable cualquier aplicación que corra sobre Windows y cargue DLLs, lo que es prácticamente lo mismo que decir "todas las aplicación de Windows" ya que el modelo de DLLs es intrínseco a este sistema operativo.

Y continua explicando que la forma de resolver el problema es:

"Individual applications that run on the Windows platform may require patches or updates." 

Especificando que la solución deberá ser provista por cada una de las aplicaciones afectadas en forma individual ya que no  existe (aparentemente) un mecanismo dentro del propio sistema operativo que permita limitar la explotación del bug sin afectar el funcionamiento normal de las aplicaciones.

Lo que es curioso de esta alerta es que nos pone sobre aviso de la posibilidad de que nuestras herramientas informáticas habituales contengan un error de codificación y eso permita que un delincuente cibernético la explote para simplemente hacer daño y/o ganar notoriedad (ya no tan común) o conseguir un beneficio (la norma desde hace unos años) vía hurto y/o robo (si es uno u otro da para varios post) de información valiosa.

Es decir, nos avisa sobre algo que todo usuario de equipamiento informático debería saber, no existe pieza de software exenta de vulnerabilidades, pero nos deja la duda de cual de las decenas o cientos de aplicaciones instaladas están afectadas, nada nos dice de como detectar cuales son ni de como mitigar el problema.

En resumen, esta alerta resulta, en la práctica, poco útil ya que no aporta información nueva, lo mismo hubiera dado que dijera "Todo software tiene vulnerabilidades y en caso de ser detectados el fabricante deberá proveer una actualización para corregirlo".

En este sentido, el mayor aporte que hace es obligarnos a reflexionar cómo nuestros negocios y nuestras vidas en general pueden penden de hilos delgados susceptibles de ser cortados abruptamente, evitándonos la penuria de sufrir el evento sin previo aviso. Se aproxima al trabajo del filósofo que nos quiere llevar a la reflexión sobre la vida y la muerte y la aleatoria posibilidad de ocurrencia de cualquiera de ellas, pero nada nos puede decir de como prepararnos y mucho menos protegernos.

Seguridad de archivos PDF

Los archivos PDF maliciosos no necesitan una vulnerabilidad para ejecutarse

Un investigador de seguridad ha descubierto la manera de ejecutar código malicioso en una máquina sin necesidad de que exista una vulnerabilidad de software.

Adobe Reader muestra una advertencia antes de que se ejecute un código de ataque, pero ese mensaje se puede manipular para evitar la sospecha. Un investigador de seguridad ha descubierto la manera de ejecutar código arbitrario en ordenadores Windows incorporando en ellos un archivo PDF malicioso. El código se ejecutará cuando el archivo sea visto en dos de los lectores PDF más populares, pero el autor afirma que no se explota ninguna vulnerabilidad.

Los lectores de PDF de Adobe Systems y Foxit no permiten que ejecutables integrados funcionen directamente, pero el investigador Didier Stevens ha encontrado la manera de que un ejecutable se active a través de un comando de lanzamiento diferente.

Al abrir el documento amañado, Adobe Reader mostrará un mensaje de advertencia diciendo que el código de lanzamiento podría dañar el ordenador, de forma que el usuario tendría que aprobar el lanzamiento de una aplicación. Stevens ha encontrado la manera de cambiar parte del mensaje, que podría modificarse para persuadir a los usuarios de que abran un ejecutable.

Didier Stevens ha ofrecido información sobre sus investigaciones a Adobe y a Foxi, que estudiarán el problema para evitar que se aprovechen.

Fuente: It Espresso