Se publica Kit de herramientas de hacking para crear exploit de hackeo de DLL’s

Se esperan ataques contra las aplicaciones vulnerables de Windows, probablemente en las próximas semanas

Por Gregg Keizer . 23 De agosto de 2010

La aparición de los códigos de ataque en la carga de los archivos DLL puede afectar a cientos de aplicaciones de Windows, ya que los piratas informáticos empezarán con pequeños ataques en equipos, argumentaron expertos en seguridad.

“Una vez que se crea el Metasploit, no hace falta mucho más para ejecutar un ataque,” dijo Andrew Storms, director de operaciones de seguridad para nCircle Security. “La parte más difícil ya ha sido hecha por los hackers”

El problema viene de la liberación de hoy del código de ataque por HD Moore, el creador del Kit de herramientas de hacking de open-source Metasploit.

Moore también ha creado una herramienta de auditoría que guarda los registros de las aplicaciones vulnerables y que puede utilizarse para lanzar el código del exploit que Moore ha diseñado y agregarlo al Metasploit.

Juntos, la herramienta y el exploit crean un ataque efectivo “enfocar y disparar”, dijo Moore.

“Con ella en Metasploit, la gente definitivamente estudiará estas vulnerabilidades,” dice Wolfgang Kandek, CTO en Qualys. “Obtienen un montón de prestacionesde una vez en Metasploit, y espero ver algún tipo de exploit públicado en las próximas dos semanas”.

De acuerdo a los informes que aparecieron por primera vez la semana pasada, desarrolladores, incluyendo Microsoft, han abusado de una función crucial de Windows, dejandola vulnerable a un ataque debido a la forma de cargar los componentes en un gran número de programas de Windows.

Muchos de los programas de Windows pueden ser hackeados simplemente por engañar a los usuarios para visitar los sitios Web maliciosos o abrir documentos con formato incorrecto debido a la forma, el software de carga de librerías llamadas “Biblioteca de vínculos dinámicos”, o “.dll” en Windows–, así como los archivos ejecutables “.exe” y “.com”. Silos piratas informáticos pueden plantar un malware disfrazado en uno de los directorios que se busca en una aplicación cuando se accede a esos archivos, y con ello pueden “hackear” el PC.

Moore fue el primero en abordar el tema cuando anunció la semana pasada que se encontró 40 aplicaciones vulnerables de Windows. Fue seguido rápidamente por otros que afirmaban números diferentes, que van desde más de 200 a menos de 30.

Moore y Kandek dijeron que esperan que Microsoft  emita un aviso que incluya soluciones defensivas, pero no un parche básico. Este último, dijo Kandek hoy–y la semana pasada lo decía Moore– no es viable ya que son las vulnerabilidades en el código de cada aplicación, no en el propio Windows.

“Probablemente daremos algunas soluciones y asesoramiento, tales como evitar cargar archivos DLL desde un recurso compartido de red o WebDAV,” dijo Kandek, refiriéndose a la tecnología integrada en Windows que permite el uso compartido de archivos y la colaboración en la Web. “Espero que tendrán algún tipo de herramienta que impedirá la carga de las DLL de recursos compartidos de WebDAV”.

La correcciones para las vulnerabilidades pueden durar meses, dijo a los expertos. “Esto podría convertirse en un tema como ATL,” dijo Storms, hablando sobre el fallo en Active Template Library, una biblioteca de código proporcionada por Microsoft que tuvieron que ser corregidos hace dos veranos. A continuación, muchos desarrolladores, incluyendo Microsoft, tuvieron que parchear sus programas individualmente.

“Como con ATL, puede tomar algún tiempo para ver lo que puede verse afectado,” dice Storms.

Lo que Storms y Moore esperaban averiguar, es qué aplicaciones propias que Microsoft podría reconocerse que estuvieran afectadas. “La verdadera cuestión será que aplicaciones de Microsoft se ven afectadas, y si se trata de sus características específicas,” dijo Storms.

Moore fue más severo. “Sus declaraciones han sido falsas”, dijo, de los comentarios que la compañía hizo al candidato de doctorado de la Universidad de California Davis Taeho Kwon, cuando entró en contacto con la empresa en agosto de 2009, acerca de las vulnerabilidades que él había descubierto. “Sabían entonces que al menos algunas de sus aplicaciones eran vulnerables.”

De acuerdo con Moore, al menos un tipo de fichero de Microsoft puede ser aprovechado para secuestrar a un PC mediante un error de carga de la DLL.

Moore también publicó una descripción detallada de la vulnerabilidades, que apodó “hackeo de la carga de aplicaciones DLL “, así como algunas medidas defensivas que pueden tomar los usuarios, en una entrada en el blog de Rapid7.

“Quiero desactivar SMB y deshabilitar el cliente Web en Windows pronto,” dijo Storms.
__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.