[Atl42] La vulnerabilidad más antigua de Windows

Cassisi sebastiancassisi en gmail.com
Jue Ene 21 15:05:33 CET 2010


  Sent to you by Cassisi via Google Reader: La vulnerabilidad más
antigua de Windows via Geekotic by Gabolonte Blasfemus on 1/21/10

Es normal enterarse todo el tiempo de nuevos agujeros de seguridad en
cualquier sistema operativo o aplicación a un ritmo prácticamente
diario; sin ir más lejos todavía circulan noticias alrededor del bug de
Internet Explorer mediante cual, supuestamente, hackearon a Google
desde China. Pero no todos los días uno se entera de una vulnerabilidad
presente desde tiempos inmemoriales dentro de un sistema operativo, y
en este caso, para ser más precisos, de hace 17 años. Ese es el tiempo
desde el cual está presente un problema de seguridad en Windows que
permite a una aplicación escalar privilegios y tomar el control del
sistema, y que se supone es capaz de explotarse en todo sistema Windows
de 32 bits, desde el primer NT hasta el flamante Windows 7.

El bug radica en la Virtual DOS machine, o VDM, el subsistema que
incorporan todos los Windows de 32 bits para permitir la ejecución de
aplicaciones de DOS o de Windows a 16 bits dentro de los mismos. De
esta forma, es posible que código de 16 bits, utilizando una serie de
trucos contra la VDM, alcance privilegios de administrador en el
sistema local que le permita manipularlo a su antojo.

Humillantemente para Microsoft, este agujero de seguridad de hace casi
dos décadas fue descubierto por un miembro del equipo de seguridad de
Google (vaya uno a saber qué hacía mirando en la VDM de Windows), y
también se tomó el trabajo de publicar un exploit que demuestra la
falla y que funciona en Windows XP, Windows Server 2003 y 2008, Vista y
7. Y como de momento en Redmond están muy ocupados leyendo los twits de
Bill Gates, por ahora no existe parche que mate a este dinosaurio
escondido en cada Windows, siendo la única opción posible para
resguardarse del mismo deshabilitar la VDM, esto es, inhabilitar por
completo la ejecución de programas de 16 bits en Windows. Para lograrlo
se puede utilizar el editor de políticas de grupo en las versiones de
Windows que lo posean (ej Windows Server 2003) para realizar este
cometido, aunque lo más fácil y directo en cualquier Windows es,
mediante el editor del Registro, crear o editar el valor D-Word
VDMDissallowed y hacerlo igual 1, bajo la
rama \HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat.

Posiblemente poca gente utilice aún aplicaciones DOS o Windows de 16
bits, aunque a mi se me viene una a la cabeza (el viejo y popular
Compumap porteño), pero de todas formas es importante considerar que
este problema tampoco es para morirse e ir corriendo a tomar medidas; a
menos que seamos administradores de sistemas en entornos donde se
implementan políticas rígidas de seguridad o trabajemos desde cuentas
limitadas de Windows para evitar la ejecución accidental de malware,
una típica PC con Windows donde los usuarios hacen todo desde una
cuenta con derechos administrativos hace palidecer en importancia a
este antiquísimo bug.

A ver cuando encuentran una vulnerabilidad en el comando dir, esa le
ganaría a todas…

Vía The H Security.
Entradas que (tal vez) tienen algo que ver:
- MobiReg, un editor del Registro para Windows Mobile
- Windows vulnerable a nivel TCP/IP
- El feo, el malo, y el (no tan?) sucio
- Reponer a Internet Explorer como navegador por defecto en Windows
Mobile
- Process Hacker, completo analizador de procesos para Windows
- Powered by Contextual Related Posts Si te gustó compartilo:


Things you can do from here:
- Subscribe to Geekotic using Google Reader
- Get started using Google Reader to easily keep up with all your
favorite sites
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: /pipermail/atl42-public/attachments/20100121/53e83fe7/attachment.htm 


Más información sobre la lista de distribución Atl42-public