Las vulnerabilidades en los sistemas operativos son unos de los principales vectores de ataques utilizados por los creadores de códigos maliciosos. En este caso les presentamos una vulnerabilidad critica en varios de los sistemas operativos de Microsoft.
El pasado martes 4 de enero, Microsoft comunico a los usuarios de su sistema operativo la existencia de una vulnerabilidad del tipo 0-day, la cual es considerada crítica ya que afecta al intérprete de gráfico de Windows (Windows Graphics Rendering Engine), permitiendo al atacante poder ejecutar código malicioso de forma remota. Dicho vulnerabilidad es identificada como CVE-2010-3970 o ,en la publicación de Microsoft Security, como Advisory 2490606.
Los investigadores de seguridad Moti & Xu hao, los cuales descubrieron la vulnerabilidad, presentaron su trabajo en la conferencia “Power of Community” el día 15 de diciembre del 2010, en donde pudieron mostrar en vivo una prueba de concepto del exploit. Como ya mencionamos, recién el pasado 4 de enero, Microsoft confirmo la existencia de la misma.
La vulnerabilidad reside en la forma en que el motor de procesamiento maneja las imágenes en miniatura o de vista previa (thumbnails), permitiendo povocar un desborde de pila, también conocido como buffer overflow. Se ven afectadas casi todas las versiones de Windows, excepto los productos de Windows 7 tanto de 32 y 64 bits y Windows Server 2008 R2 (de 64x y Itanium). Es importante remarcar que la explotación de la vulnerabilidad se puede limitar dependiendo de los privilegios con los cuales se han iniciado la sesión.
También es importante recordar que ya se encuentra disponible el exploit en la red, y solamente requiere que se visualice el archivo thumbnail especialmente modificado, para explotar la vulnerabilidad. Algunas de las recomendaciones para minimizar el impacto de este ataque, es la restricción de ACL (lista de control de acceso) para el archivo shimgvw.dll, también es recomendable que a la hora de navegar en Internet, se lo realice con un usuario con permisos limitados.
Microsoft todavía no confirmo si el parche se va a encontrar disponible para el día martes 11 de enero, ya que, como es costumbre, este publica las actualizaciones para sus diferentes sistemas todos los segundos martes de cada mes. Esta vulnerabilidad se suma a otras 4 vulnerabilidades tipo 0-day que todavía no tienen parche, ante este problema Microsoft publicó un fix-it como solución temporal para algunos entornos.
Es importante tener en cuenta que mantener nuestro sistema operativo al día, y contar con una solución con capacidad proactíva de detección es imprescindible al momento de navegar por la red. Como mencionábamos en reportes anteriores gran parte de los usuarios no tiene en cuenta la importancia de las actualizaciones de seguridad y las consecuencias que la falta de las mismas pueden traer.
Claudio Cortés Cid
Especialista de Awareness & Research