Categories: SeguridadVirus

Navidad negra para la seguridad de Windows

A estas se suman otras tantas que días atrás se habían dado a conocer sobre Internet Explorer. En total seis vulnerabilidades, algunas de ellas catalogadas como críticas, para las que Microsoft aun no ha publicado parche.

La primera de las vulnerabilidades, que según el reporte original afecta a todas las versiones de Windows, tiene su origen en el programa winhlp32.exe, encargado de procesar los archivos de ayuda .HLP. Se han detectado en esta aplicación un desbordamiento de heap y un desbordamiento de entero que podrían ser explotables mediante un archivo de ayuda especialmente diseñado.

A efectos prácticos, un atacante podría crear un archivo de ayuda con extensión .HLP y hacer que un usuario con Windows lo abriera, momento en el cual se ejecutaría el código arbitrario del atacante, con la posibilidad de llevar a cabo cualquier acción y comprometer el sistema.

La recomendación, a la espera de una solución por parte de Microsoft, es evitar abrir cualquier archivo .HLP que nos envíen, y en general cualquier archivo que expresamente no hayamos solicitado, aunque provenga de una fuente confiable.

La segunda de las vulnerabilidades está basada en un desbordamiento de entero en la función LoadImage de USER32, biblioteca de Windows destinada a cargar los iconos, cursores y bitmaps.

A efectos prácticos, un atacante podría crear un archivo .bmp, .cur, .ico o .ani e incluirlo en una página web o un e-mail que, al ser visualizado por un usuario, provocara la ejecución de código arbitrario y el compromiso del sistema. Este problema no afectaría a los usuarios con Windows XP y el Service Pack 2 instalado.

La prevención, a la espera de la solución por parte de Microsoft, de nuevo pasa por evitar abrir archivos que nos envíen y que expresamente no hayamos solicitado, configurar nuestro cliente de correo para no procesar automáticamente los mensajes HTML, y no visitar páginas web que no sean de fuentes confiables.

La tercera vulnerabilidad para Windows, la menos crítica, podría ser explotada para llevar a acabo ataques por denegación de servicios (DoS), aprovechando un problema del kernel de Windows al procesar archivos .ani especialmente diseñados. En esta ocasión tampoco afecta a Windows XP SP2. La prevención, a falta de la pertinente actualización, pasa por seguir las recomendaciones anteriormente descritas.

Los exploits o pruebas de concepto diseñadas para demostrar las vulnerabilidades han sido procesadas por el servicio antivirus de Hispasec, VirusTotal (http://www.virustotal.com).

eTrust-Iris, de Computer Associates, es el único motor en el momento de escribir estas líneas que detecta el exploit para la vulnerabilidad en winhlp32.exe como Win32/WhlpHeapOvrflw.Exploit.Tro.

El exploit del desbordamiento de entero en USER32 ha sido detectado por e-Trust-Iris como Loadimage.Exploit.Trojan y Symantec como Bloodhound.Exploit.19.

En el caso de la tercera vulnerabilidad, los dos exploits publicados para el ataque de denegación de servicio al kernel basado en un archivo ANI son detectados también por eTrust-Iris como Win32/AniFile.Exploit.Trojan. Mientras que Symantec sóloreconoce uno de los dos exploits como Bloodhound.Exploit.20.

El sistema de distribución de muestras de VirusTotal envía automáticamente y en tiempo real las muestras que han dado positivas por algún antivirus al resto de laboratorios que participan en este servicio y no las detectan, facilitando a dichos laboratorios el acceso a las últimas amenazas y ayudando en la protección de sus usuarios. Por ello esperamos que en breve se amplíe el número de antivirus que detecten los exploits.

Redacción

Recent Posts

Google paga 5.000 millones de dólares para resolver una demanda colectiva

Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…

11 meses ago

Las pymes valencianas pueden optar a ayudas de 5,5 millones de euros por proyectos de I+D

El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…

11 meses ago

La guerra entre Israel y Gaza no acobarda a los inversores extranjeros de startups

Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…

11 meses ago

Navarra ya cuenta con más de 80 startups

La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.

11 meses ago

Las startups valencianas progresaron adecuadamente en 2023

Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…

11 meses ago

El New York Times acusa a Open AI y Microsoft de infringir sus derechos de autor

El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…

11 meses ago