jueves, 23 de septiembre de 2004
Explotar vulnerabilidades y ventana de exposición

Estamos presenciando fenómenos curiosos que reflejan la vertiginosidad de la seguridad informática. La conexión a Internet favorece la comunicación entre las personas y para bien o para mal, la comunicación de conocimientos. En este caso, el fenómeno curioso que quiero hoy contar es de que forma se está reduciendo la ventana de exposición por parte de los fabricantes y lo rápido que aparecen los exploits para vulnerabilidades.

El día 14, Microsoft publicaba en su boletín de seguridad 28 de este año, la vulnerabilidad relacionada con un problema en la gestión de archivos JPG. El volumen de víctimas es alto dada la cantidad de productos afectados y el uso de este tipo de formato de ficheros y el impacto de la vulnerabilidad es permitir el acceso a archivos del usuario vulnerable.

La publicación del fallo se realizó el dia 14 de septiembre. El día 17 ya aparecían las primeras noticias de exploit que realizaban pruebas de concepto sobre esta vulnerabilidad.

La ventana de exposición es el tiempo transcurrido entre la publicación de la vulnerabilidad y la aplicación del parche. En este caso no debería haber mucho riesgo ya que eso ocurrió el mismo día porque la vulnerabilidad se publico porque ya existía parche, que es la política de Microsoft al respecto.




El problema es cuanto tiempo está abierta esta ventana de exposición en un usuario normal. Ahora, gracias a Windows Update estas tareas son automáticas pero al menos el usuario debe configurar bien las opciones de actualización. Windows XP SP2 incorpora ahora también un panel de seguridad donde avisa al usuario del riesgo que corre si no tiene configurada correctamente la actualización automática. Aun así, seguro que en breve aparece un virus/gusano/troyano que explota este fallo y que contamina a millones de usuarios. Tiempo al tiempo... seguramente lo veremos en pocos meses o días...

Noticias relacionadas:
Microsoft Security Bulletin MS04-028: Buffer Overrun in JPEG Processing (GDI+) Could Allow Code Execution (833987)

MS04-028 Exploit Code Published!!!
 
;