Las primeras vulnerabilidades del SP2 de Windows XP

Sin embargo, las vulnerabilidades descriptas por el portal alemán Heise Security, no son consideradas graves por los propios investigadores, quienes aún siguen recomendando la instalación del SP2.

El nuevo Service Pack 2 para Windows XP, ha sido liberado recientemente por Microsoft, y se espera para estos días su versión en español.

El SP2 pone mucho énfasis en la seguridad, incluida una versión mejorada del cortafuego integrado al sistema operativo.

También existen cambios importantes en la manera de interactuar de Windows con otros programas, lo que ha hecho que Microsoft publique una lista de aplicaciones que dejarían de funcionar de la forma en que actualmente lo están haciendo. Muchos fabricantes ya han sacado o sacarán en los próximos días, las versiones que se adaptarán a esta actualización, al mismo tiempo que tomarán ventaja de las nuevas características de seguridad.

Estas ventajas incluyen la imposibilidad que un desbordamiento de búfer pueda ser utilizado para la ejecución de código (fallo que favoreció la acción de gusanos como el Blaster o el Sasser entre otros), además de características mejoradas para detectar y bloquear el contenido malicioso descargado de sitios de Internet.

Las vulnerabilidades descubiertas por Heise Security, están relacionadas con la manera en que el SP2 identifica los archivos descargados utilizando el Internet Explorer o guardados desde los mensajes de correo electrónico utilizando el Outlook Express con la nueva característica denominada “Identificador de Zona”, o ZoneID.

El ZoneID almacena la zona de seguridad del Internet Explorer en que se origina el archivo. Las zonas de seguridad del IE, asignan niveles de permisos de seguridad distintos a cada fuente de datos o de código. Por ejemplo, sitios web y archivos descargados de Internet, son considerados menos seguros que los obtenidos directamente del disco duro de la computadora o de la red local.

Esta ZoneID se almacena en un archivo de texto en el equipo del usuario, con un enlace al archivo descargado. El mismo es utilizado para mostrar avisos de advertencia emergentes, cuando el usuario intenta abrir archivos provenientes de fuentes peligrosas. Sin embargo, ciertas características de Windows permiten que lleguen a ser abiertos sin recibir ningún mensaje, según explica el portal Heise Security.

En el ejemplo publicado, los usuarios podrían abrir archivos utilizando CMD, el procesador de comandos de Windows, junto a ciertos parámetros.

“Es evidente que la explotación de algo así, aunque posible, involucra mucha interrelación con el usuario (el usuario debería escribir un texto para ejecutar un archivo descargado de Internet). Ello quita gravedad al asunto, reduciendo el espectro de posibilidades para un ataque exitoso”, afirma José Luis López del portal VSAntivirus.

“Es como si a un usuario se le pidiera en un correo electrónico, ejecutar desde una ventana el comando FORMAT con los parámetros necesarios para que no pregunte nada al ejecutarse. Aunque ciertamente siempre va a existir alguien que acate la sugerencia (disfrazada de alguna manera para que no parezca tan obvia), las posibilidades se reducen enormemente. Y yo no diría que eso es una falla del sistema operativo”, comenta López.

La segunda vulnerabilidad, que los investigadores llaman un “error de programación”, se produce porque el SP2 falla al no actualizar de inmediato la información de ZoneID almacenada en el caché, cuando un archivo es renombrado. Esto podría permitir a un atacante o a un virus, eludir los mensajes de advertencia, al menos temporalmente, simplemente renombrando un archivo malicioso con el nombre de otro inocente (un .EXE renombrado como .GIF).

Ninguna de los dos fallos de seguridad pueden ser explotados por un atacante remoto, y ambos requieren que el usuario local realice ciertas acciones, como abrir una ventana de comandos o renombrar ciertos archivos.

Aunque Heise Security advierte que algunos antivirus también podrían dejarse “sorprender” por el cambio de nombre (el .EXE renombrado como .GIF), “es poco probable que ello ocurra, desde que ningún antivirus que se precie de tal, tomaría en cuenta solo la extensión del archivo”, dice López.

Microsoft fue informado de estos agujeros, pero su respuesta oficial es que los mismos no están en conflicto con “las metas de diseño de las nuevas protecciones”, y por lo tanto no se está considerando publicar un parche para estos problemas por el momento.

Muchos expertos concuerdan que el SP2, mejora la seguridad de Windows XP, especialmente con su cortafuegos mejorado, que bloquea por defecto todo el tráfico peligroso desde Internet. Pero sería tonto pensar que esta será la “protección definitiva” contra toda clase de ataques.

La cacería de vulnerabilidades en el nuevo SP2, empezó tan pronto como esta actualización fue liberada. Algunos investigadores predicen que los piratas informáticos descubrirán maneras de eludir muchas de las nuevas características de seguridad, incluso creando gusanos específicos para el SP2.

De todos modos, el SP2 es una importante barrera contra muchas de las amenazas actuales y también futuras, y significa un paso muy importante para la seguridad de nuestras computadoras.

Más información en: http://www.enciclopediavirus.com

Deja un comentario