La importancia de la actualización crítica MS10-020

Publicado el 20 abril 2010 ¬ 6:01 amh.mscComentarios desactivados en La importancia de la actualización crítica MS10-020

Dentro del conjunto de boletines de seguridad de abril publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS10-020) de una actualización crítica destinada a corregir cinco errores en el cliente SMB de los sistemas Windows.

La primera de las vulnerabilidades, con CVE-2010-0269, afecta a toda la familia Windows permitiendo a un atacante remoto ejecutar código arbitrario.

Esta última vulnerabilidad fue descubierta por Mark Rabinovich, recién nombrado jefe de investigación y desarrollo de la empresa “Visuality System”, especializada en productos que usan CIFS (denominación que introdujo Microsoft a la tecnología SMB en 1998).

El resto de vulnerabilidades se le debe a Laurent Gaffié de “stratsec”, un investigador bastante conocido en las listas de seguridad y al que no se le dá nada mal la búsqueda de agujeros en SMB a juzgar por sus resultados.

* CVE-2009-3676 – SMB Client Incomplete Response Vulnerability:
Esta vulnerabilidad afecta a sistemas Windows 7 y Windows Server 2008 R2 y podría permitir a un atacante causar una denegación de servicio.

El error se produce al enviar una cabecera NetBIOS con un valor en la que especifica un tamaño cuatro bytes menor que el tamaño real del paquete SMB.

Si observamos el CVE vemos que fue asignado en 2009, y es debido a que Gaffié, hizo publico un exploit y los detalles de la explotación en la lista de “Full Disclosure” el día 11 de noviembre de 2009.

En el mismo aviso, Gaffié criticaba con cierta dureza al MSRC y al SDL de Microsoft (el equipo de respuesta y el programa de desarrollo seguro respectivamente), al responderle, según Gaffié, que la vulnerabilidad no debería aparecer en un boletín de seguridad.

* CVE-2010-0269 – SMB Client Memory Allocation Vulnerability:

Como habíamos comentado, afecta a toda la gama de sistemas Windows y su explotación podría permitir a un atacante remoto sin autenticar ejecutar código arbitrario.

Esta vulnerabilidad se debe a la forma en la que el cliente SMB de Windows reserva memoria cuando procesa las respuestas que son enviadas por un servidor SMB.

Un atacante remoto podría aprovechar esta vulnerabilidad para ejecutar código arbitrario a través del envío de respuestas SMB especialmente manipuladas. La explotación puede efectuarse inyectando las respuestas en un ataque de hombre en el medio (“man in middle”) o mediante una página web que contenga una URI hacia un servidor SMB controlado por el atacante.

* CVE-2010-0270 – SMB Client Transaction Vulnerability:

Esta vulnerabilidad, descubierta por Gauffié en diciembre de 2009, afecta a sistemas Windows 7 y Windows Server 2008 R2 y podría permitir a un atacante ejecutar código arbitrario.
El error está en una falta de validación de ciertos campos en las respuestas generadas durante transacciones SMB. Según Gauffié, un desbordamiento de pila clásico y no protegido por un “canary value” (un valor controlado y monitorizado por el sistema para comprobar la corrupción de la pila).

Los vectores de ataque son similares a los del CVE-2010-0269. El día 17 de abril, a través de su blog, Gauffié publicaba detalles y una prueba de concepto.

* CVE-2010-0476 – SMB Client Response Parsing Vulnerability:

Ejecución de código arbitrario en sistemas anteriores a Windows 7 y Windows Server 2008 R2, calificada de “baja” en estos últimos y no explotable en Windows 2000 y XP.

El error reside en la forma en que se procesan las respuestas en transacciones SMB. Un atacante remoto podría causar una denegación de servicio y potencialmente ejecutar código arbitrario a través de peticiones SMB especialmente manipuladas.

Los vectores de ataque son similares a los comentados en las dos
vulnerabilidades anteriores.

* CVE-2010-0477 – SMB Client Message Size Vulnerability:

Afecta a sistemas Windows 7 y Windows Server 2008 R2 y podría permitir a un atacante remoto sin autenticar ejecutar código arbitrario.

El fallo se encuentra en el cliente SMB. Al procesar ciertas peticiones SMB especialmente manipuladas, éstas podrían provocar que el cliente consuma completamente la petición recibida e indique un valor incorrecto al kernel Winsock (un interfaz similar a la librería Winsock2 orientada al modo kernel).

Los vectores de ataque son igualmente similares a los comentados en las vulnerabilidades anteriores.

Se recomienda actualizar los sistemas afectados mediante Windows Update o descargando los parches según versión desde la página del boletín de seguridad. 
Fuente

Comentario:
En los últimos días se aprecia un notable aumento de incidencias en ataques e infecciones por todos lados, así que se recomienda instalar los parches y actualizaciones que sugerimos para evitar, en lo posible, ser afectado por ellos. Ver https://blog.satinfo.es/?p=3588

saludos

ms, 20-4-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Sin categoría

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies