Un grupo de hackers rusos ha hecho público un exploit que vuelve a aprovechar el fallo de desbordamiento de búfer en el protocolo RPC de Windows. Varios expertos han confirmado en listas especializadas, que el programa funciona y es capaz de realizar un ataque DoS (denegación de servicio) incluso si el sistema se encuentra actualizado con los últimos parches.

El pasado día 11, hackers rusos hacían público en su página un exploit universal (válido para todas las versiones de Windows independientemente del “Service Pack” instalado) que funcionaba aun en sistemas supuestamente actualizados con los últimos parches que Microsoft ha publicado para esa vulnerabilidad, descubierta el 16 de Julio en el RPC (Remote Procedure Call) de prácticamente todos los sistemas Windows, y razón de ser del omnipresente virus MSBlaster. RPC es un protocolo que proporciona a Windows un mecanismo de comunicación entre procesos para que un programa que se está ejecutando en un equipo pueda ejecutar también código en un sistema remoto. La facilidad para explotar este problema y conseguir ejecutar código arbitrario en la víctima ya estaba reportando suculentos beneficios a los hackers maliciosos que buscaban potenciales víctimas en el IRC desde finales de julio, cuando se hizo público el exploit. Aprovecharse del problema “a mano” conociendo la IP de la víctima resultaba trivial. A partir de ahí, surgieron muchas variantes del exploit, que hacían incluso más fácil poder ejecutar código en sistemas ajenos sin necesidad de poseer demasiados conocimientos.

Poco después de la aparición del parche que solventaba la vulnerabilidad, se volvió a descubrir otro fallo en el mismo servicio RPC DCOM tan peligroso como el primero, que permitió a otras variantes del virus expandirse de forma muy parecida, aunque las víctimas hubiesen parcheado su sistema con la primera actualización. Para colmo, se vuelve a descubrir una nueva versión del exploit que por ahora, sólo permite realizar un ataque DoS.

Microsoft ha programado parches ineficaces muchas veces, pero no hay que remontarse muy atrás en el tiempo para encontrar un buen ejemplo. Hace sólo unos meses, se alertaba sobre la gravedad de la vulnerabilidad en la etiqueta OBJECT. Construyendo una página especialmente manipulada, se podía ejecutar código o descargar programas en los sistemas de los que visitaran la página con el navegador Internet Explorer. La página manipulada podía ser creada de tres formas distintas: Con HTML estático, a través de un script o enlazando con XML. El parche acumulativo con el que Microsoft pretendía solucionar el fallo, demostró ser ineficaz, pues sólo remediaba el error en el caso en que la página estuviese creada con HTML estático, y dejaba el campo abierto para que el fallo pudiese ser explotado de otras maneras igual de sencillas. Pasó casi un mes hasta que Microsoft hizo público el enésimo parche “acumulativo” (con el código 828750) que permitía solventar los errores que ellos mismos cometieron además de tapar otros agujeros. Aun así, muchos expertos alertan de que a Internet Explorer le queda muchos agujeros por tapar (algunos afirman que hasta 37).

El caso de la etiqueta OBJECT resulta especialmente crítico, puesto que Microsoft ha tropezado dos veces con la misma piedra. En Febrero de 2002, Greymagic advertía de una vulnerabilidad casi gemela que permitía la ejecución de código gracias a la dichosa etiqueta. Microsoft volvió a olvidar que las llamadas a esta etiqueta pueden realizarse de varias formas, y programó un parche ineficaz, que creaba una sensación de falsa seguridad al que hubiese actualizado su navegador, pues seguía siendo vulnerable si se topaba con páginas creadas con un poco más de imaginación.

Más información y referencias:

CERT:
http://www.cert.org/incident_notes/IN-2003-04.html

Boletines de Microsoft:
http://www.microsoft.com/security/security_bulletins/MS03-026.asp
http://www.microsoft.com/technet/security/bulletin/MS03-032.asp

Windows XP continúa siendo vulnerable al fallo RPC/DCOM
http://www.vsantivirus.com/10-10-03a.htm

Sergio de los Santos
http://www.forzis.com
http://foro.megamultimedia.com