Bugs y Exploits

El parche creado por Microsoft destinado a solucionar el problema descrito en el primer boletín de seguridad de 2005, puede ser burlado gracias a la combinación de otras vulnerabilidades en Internet Explorer. Con esta nueva demostración de ineficacia, Internet Explorer no hace más que añadir un error más en su ya triste trayectoria, y confirmar de paso su inutilidad como navegador de confianza.

25-01-2005 - El parche destinado a solventar la primera vulnerabilidad del año admitida por Microsoft en su boletín MS05-001, aseguraba solucionar un fallo en el objeto "HTML Help ActiveX control" de Windows. Aunque la vulnerabilidad fue descubierta semanas antes de la descripción de este fallo y aparecieron programas capaces de explotarla, no fue hasta el segundo martes de enero que apareció el parche. Aun con tiempo suficiente para desarrollar un antídoto eficaz, el parche publicado sólo bloquea un conocido método de explotación de esta vulnerabilidad, pero no la soluciona por completo.

La empresa de seguridad GeCAD NET, ha asegurado que con la combinación de ésta y otra vulnerabilidad existente pero todavía no hecha pública, se puede crear un exploit válido para la vulnerabilidad descrita en MS05-001 incluso si el usuario está parcheado. Por lo crítico del descubrimiento (permite la ejecución de código en el sistema) y la no existencia todavía de solución, GeCAD NET no proporciona más información sobre él. Lo que sí se sabe es que ésto no afecta a Windows XP con Service Pack 2 instalado y con el parche aplicado.

GeCAD demuestra así que Microsoft, en sus parches, es capaz de bloquear la ejecución del exploit popular del momento, pero no atacar el problema de raíz de forma eficaz para que ningún otro software maligno sea capaz de aprovechar el fallo encontrado. Es en estos momentos en los que los "parches" de Microsoft adoptan por completo el significado de la palabra, y se fabrican como verdaderos "parches" para tapar más bocas que agujeros en el software.

No es la primera vez que le pasa. En julio de 2004 lanzó una corrección de emergencia ante el grave problema que suponía Scob o Download.Ject, un ataque vírico que infectaba a usuarios de Internet Explorer que visitaran páginas web con el servidor HTTP de Microsoft comprometido. La combinación de vulnerabilidades en los dos productos, resultó en la posibilidad de ejecutar código en los usuarios que navegaran por páginas afectadas. Este fenómeno hizo sonar la alarma entre expertos en seguridad.

Este caso es especialmente relevante, porque en aquella ocasión, la corrección publicada no era más que un cambio de configuración en el navegador que no atacaba el problema de raíz, y Microsoft recomendó a los usuarios a que esperaran un parche definitivo en la por entonces inminente aparición del Service Pack 2 para Windows XP.

En octubre de 2003 salía a la luz un exploit universal (válido para todas las versiones de Windows independientemente del Service Pack instalado) que funcionaba aun en sistemas supuestamente actualizados con MS03-026. Era capaz de violar una vez más la seguridad del RPC (Remote Procedure Call) de prácticamente todos los sistemas Windows, y razón de ser del omnipresente virus MSBlaster. A partir de ahí, surgieron muchas variantes del exploit, que hacían incluso más fácil poder ejecutar código en sistemas ajenos sin necesidad de poseer demasiados conocimientos. Poco después de la aparición del parche que solventaba la vulnerabilidad, se volvió a descubrir otro fallo en el mismo servicio RPC DCOM tan peligroso como el primero, que permitió a otras variantes del virus expandirse de forma muy parecida, aunque las víctimas hubiesen parcheado su sistema con la primera actualización.

A mediados de 2003, eEye alertaba sobre la gravedad de una vulnerabilidad en la etiqueta OBJECT. Construyendo una página especialmente manipulada, se podía ejecutar código o descargar programas en los sistemas de los que la visitaran con Internet Explorer. La página manipulada podía ser creada de tres formas distintas, pero el parche acumulativo con el que Microsoft pretendía solucionar el fallo sólo remediaba el error en uno de los casos. Se dejaba el campo abierto para que el fallo pudiese ser explotado de otras maneras igual de sencillas. Pasó casi un mes hasta que Microsoft hizo público el enésimo parche acumulativo que permitía solventar los errores que ellos mismos cometieron.

El caso de la etiqueta OBJECT resulta especialmente crítico, puesto que Microsoft ha tropezado dos veces con la misma piedra. En febrero de 2002, Greymagic advertía de una vulnerabilidad casi gemela que permitía la ejecución de código gracias a la dichosa etiqueta. Microsoft volvió a olvidar que las llamadas a esta etiqueta pueden realizarse de varias formas, y programó un parche ineficaz, que creaba una sensación de falsa seguridad al que hubiese actualizado su navegador, pues seguía siendo vulnerable si se topaba con páginas creadas con un poco más de imaginación.

La política de seguridad de Microsoft deja mucho que desear. En seguridad, cualquier hueco descuidado, cualquier acción tardía o ineficaz, marca la diferencia entre un sistema fiable y un producto en el que realmente no se puede confiar. Internet Explorer lleva años ganándose a pulso la fama de inseguro y esta trayectoria, aparte de una considerable pérdida de cuota de mercado, deriva igualmente en un sistema operativo inseguro por su grado de integración con Windows.

Internet Explorer se ha vuelto la gran pesadilla de seguridad de Windows. Sus continuos problemas y necesidad de parcheo constante para descubrir otros nuevos cada día, están degradando la imagen a Microsoft que, lejos de mejorar, parece ser superado por la complejidad del monstruo que él mismo ha creado y ya es incapaz de controlar.

El uso de otros navegadores más ligeros, no integrados y de código abierto, suponen la única solución para estar seguro mientras se navega con Windows.

Más información y referencias:

ActiveX Object HTML Help Control still exploitable after patch MS05-001
http://www.gecadnet.ro/windows/?AID=1381

Internet Explorer Object Data Remote Execution Vulnerability
http://www.eeye.com/html/Research/Advisories/AD20030820.html

Windows XP continúa siendo vulnerable al fallo RPC/DCOM
http://www.vsantivirus.com/10-10-03a.htm

Microsoft Statement Regarding Configuration Change to Windows in Response to Download.Ject Security Issue
http://www.microsoft.com/presspass/press/2004/jul04/07-02configchange.asp

Sergio de los Santos
Miembro de la Comisión de Seguridad de la Asociación de Internautas
Redactor de Hack Paso a Paso: http://www.megamultimedia.com/arroba/