Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/02/2014
Aprovechamiento de vulnerabilidades de Windows en 2013
En el último año, Microsoft (MS) corrigió una gran cantidad de vulnerabilidades para Windows y sus componentes, así como para Office. Algunas de estas vulnerabilidades eran utilizadas por atacantes para propagar códigos maliciosos antes de que estuviera disponible la revisión para el software al cual estaba dirigida la amenaza; en otras palabras, lo que llamamos un ataque 0-day. La mayoría de estos ataques se concentraban en fallas de Internet Explorer.
Podemos decir que el año 2013 fue notable por el surgimiento de vulnerabilidades 0-day que principalmente se utilizaron en ataques dirigidos. En este caso, los criminales informáticos trabajaron en el desarrollo de exploits (programas que aprovechan vulnerabilidades), pero en lugar de hacerlo para propagar códigos maliciosos, el propósito era emplearlos en ataques a usuarios específicos a la vez que intentaban alcanzar ciertos objetivos, algunos de los cuales eran conocidos solo por los mismos atacantes.
Como se puede observar, los atacantes lograron usar algunos archivos ejecutables del sistema Windows que no contaban con soporte para la técnica de seguridad Selección aleatoria del diseño del espacio de direcciones (ASLR) en la construcción de dispositivos para ataques de Programación orientada al retorno (ROP) y, de esa forma, lograban evadir la ASLR. Un ejemplo de éstos es la biblioteca hxds.dll de Microsoft Office 2007-2010, que se compiló sin la ASLR. Como parte del boletín de seguridad de Microsoft publicado el segundo martes de diciembre, la empresa corrigió esta falla (denominada Omisión de característica de seguridad) con la revisión MS13-106, suministrándoles el nivel apropiado de protección a los usuarios de Windows que trabajan con esta versión de Office.
Infección por página Web Drive-by download: es el método principal para distribuir código oculto mediante la redirección a paquetes de exploits.
Escala de privilegios para usuarios locales (Elevación de privilegios, LPE): es una forma de obtener los privilegios máximos en Windows; normalmente se asocia con el lanzamiento del código de modo kernel para evadir restricciones de modo de usuario (también conocido como escape a las restricciones de modo de usuario).
Ejecución remota de código (RCE): los atacantes usan este método, por ejemplo, en infecciones drive-by, pero en muchos casos se puede activar no solo mediante una página Web sino también por correo electrónico, mensajería instantánea, etc.