Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
28/11/2013
Microsoft publica una alerta per una vulnerabilitat de dia zero en el Kernel de Windows
Quan Microsoft publica una alerta o butlletí fora del seu cicle habitual d’actualitzacions és que alguna cosa greu passa i hui s’ha donat una d’eixes ocasions. Microsoft ha publicat un butlletí en què alerta d’una vulnerabilitat en un component del nucli de Windows XP i Windows Server 2003.Segons confirma Microsoft, la vulnerabilitat s’està explotant de forma activa en este moment, d’ací l’alerta fora de cicle. La vulnerabilitat (amb CVE-2013-5065) només afecta Windows XP i Windows Server 2003 i residix concretament que el component ndproxy.sys del Nucli falla al validar les entrades de forma adequada.
NDProxy és un controlador proporcionat pel sistema que interactua amb els controladors de miniport WAV, administradors de crides i administradors de crides de miniport als servicis d’interfície de programació d’aplicacions de telefonia (TAPI).
Un atacant local que explote amb èxit esta vulnerabilitat podrà executar codi arbitrari en mode nucli, és a dir podrà instal·lar programes; visualitzar, canviar o eliminar dades; o crear nous comptes amb drets d’administrador. Per a explotar la vulnerabilitat, l’atacant haurà d’estar autenticat en el sistema.
Sistemes Afectats:Component ndproxy.sys de Windows XP i Windows Server 2003
Referències:CVE-2013-5065
Solució:Microsoft oferix una contramesura, que encara que no corregix la vulnerabilitat bloqueja els vectors d’atac coneguts, per la qual cosa serà efectiva almenys fins que es publique l’actualització de seguretat definitiva.
Com a recomanació s’oferix redirigir el servici NDProxy a Null.sys des d’una consola amb permisos administratius s’ha d’executar:
sc stop ndproxy
reg add HKLM\System\CurrentControlSet\Services\ndproxy /v ImagePath /t REG_EXPAND_SZ /d system32\drivers\null.sys /f
Després cal reiniciar el sistema.
Esta contramesura provoca que tots els servicis que es basen en Windows TAPI (Telephony Application Programming Interfícies) deixen de funcionar, açò inclou servicis com Remote Access Service (ARRAN), connexió d’accés telefònic o VPN (Virtual Private Networking).
Notes:Hispasec una-al-dia
Microsoft Security Advisory (2914486)
MS Windows Local Privilege Escalation Zero-Day in The Wild