Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/02/2014
Aprofitament de vulnerabilitats de Windows en 2013
En l’últim any, Microsoft (MS) va corregir una gran quantitat de vulnerabilitats per a Windows i els seus components, així com per a Office. Algunes d’estes vulnerabilitats eren utilitzades per atacants per a propagar codis maliciosos abans que estiguera disponible la revisió per al programari al qual estava dirigida l’amenaça; en altres paraules, allò que anomenem un atac 0-day. La majoria d’estos atacs es concentraven en fallades d’Internet Explorer.
Podem dir que l’any 2013 va ser notable pel sorgiment de vulnerabilitats 0-day que principalment es van utilitzar en atacs dirigits. En este cas, els criminals informàtics van treballar en el desenrotllament d’exploits (programes que aprofiten vulnerabilitats), però en compte de fer-ho per a propagar codis maliciosos, el propòsit era utilitzar-los en atacs a usuaris específics al mateix temps que intentaven assolir certs objectius, alguns dels quals eren coneguts només pels mateixos atacants.
Com es pot observar, els atacants van aconseguir usar alguns arxius executables del sistema Windows que no tenien suport per a la tècnica de seguretat Selecció Aleatòria del Disseny de l’Espai d’Adreces (ASLR) en la construcció de dispositius per a atacs de Programació Orientada al Retorn (ROP) i, d’eixa forma, aconseguien evadir l’ASLR. Un exemple d’estos és la biblioteca hxds.dll de Microsoft Office 2007-2010, que es va compilar sense l’ASLR. Com a part del butlletí de seguretat de Microsoft, publicat el segon dimarts de desembre, l’empresa va corregir esta fallada (denominada Omissió de la Característica de Seguretat) amb la revisió MS13-106, subministrant el nivell apropiat de protecció als usuaris de Windows que treballen amb esta versió d’Office.
Infecció per pàgina Web Drive-by download: és el mètode principal per a distribuir el codi ocult per mitjà de la redirecció a paquets d’exploits.
Escala de privilegis per a usuaris locals (elevació de privilegis, LPE): és una forma d’obtindre els privilegis màxims en Windows; normalment s’associa amb el llançament del codi de mode de nucli per a evadir restriccions de mode d’usuari (també conegut com a fuga a les restriccions de mode d’usuari).
Execució remota del codi (RCE): els atacants usen este mètode, per exemple, en infeccions drive-by, però en molts casos es pot activar no sols per mitjà d’una pàgina web sinó també per correu electrònic, missatgeria instantània, etc.