banner

[VUL] Windows 8 ya tiene una vulnerabilidad zero-day

Llueve, un día gris de los que apetece quedarse en casa, mientras ves la lluvia caer a través de los cristales, y es cuando me decido a sentarme en el ordenador, y escribir unas breves líneas que transforman poco a poco las ideas y pensamientos que revolotean por mi mente en ésta mañana de Sábado.

Dejando de lado, mi parida "anterior", y siguiendo con la línea de Windows 8, no podía dejar pasar la noticia del descubrimiento de la primera vulnerabilidad zero-day en el reciente estrenado sistema operativo Windows, y sobre todo después de estar escribiendo las "primeras impresiones" en Seguridad que incluye esta nueva versión.

  Indice: - Windows 8 Pro: Seguridad, primeras impresiones (I)  Windows 8 Pro: Seguridad, primeras impresiones (II)

¿Qué ha ocurrido?

La crónica de lo sucedido es la siguiente:

El 30 de Octubre VUPEN Security anunció a través de su cuenta de twitter, que habían descubierto una vulnerabilidad zero-day que permitía a una atacante saltarse (bypass) de las medidas de protección que incluye Internet Explorer 10 (sandbox + smartscreen filter) y el sistema operativo Windows 8 (ASLR + DEP).

Recordemos que, entre las características de seguridad de Microsoft Windows 8, se incluye por defecto DEP (Data Execution Protection) y ASLR (Address Space Layout Randomization) para aleatorizar la localización de las instrucciones de los programas en memoria e impedir que se ejecuten datos en algunas direcciones específicas. Además, se añaden técnicas antiROP (Return-oriented programming) para proteger estos dos métodos y se incluye la aplicación anti-malware Windows Defender y la última versión de Internet Explorer utiliza un "sandbox" llamado  AppContainer para intentar impedir que se ataque directamente al sistema a través del navegador.[vía Hackersplayers]

Esto evidentemente, hace dudar acerca de las medidas de Seguridad que incluye, !! menos mal que mis artículos no tratan de alabar las bondades de las medidas de Seguridad ¡¡¡ Más bien se trata de ver una panorámica de las novedades de seguridad que incluye el nuevo Sistema Operativo.

Lo cierto es, que el descubrir una vulnerabilidad zero-day que permite un "bypass" de las medidas de protección, no hace sino confirmar, lo que muchos expertos de seguridad aconsejan, que no es otra cosa que, añadir medidas de protección adicionales a las que trae por defecto el sistema para mejorar la Seguridad del conjunto.

No obstante, si algo sabemos de las vulnerabilidades zero-day es que cualquier software puede ser victima de ello, y utilizar  medidas de protección que apliquen diferentes capas de seguridad ayudará a mantener a salvo nuestros datos.

Pero la historia no acaba aquí:

Asistencia remota activada por defecto.
El día 31 de Octubre, justo al día siguiente, se añade a #Metasploit (ejemplo) un módulo que explota una vulnerabilidad en el servicio remoto de mantenimiento (Windows Remote Management) que se encuentra activado por defecto en el Sistema Operativo.

Y solo será cuestión de tiempo que aparezca el exploit que explota la vulnerabilidad anunciada por VUPEN Security sobre el Internet Explorer 10.


Registro de actividad del módulo de Metasploit en funcionamiento.


¿Existe solución? ¿Cómo nos protegemos?


#1 - Desactivar el servicio de asistencia remota.
#2 - No utilizar Internet Explorer 10.
#3 - Mantener actualizado el Sistema Operativo y Antivirus.



Además, se puede utilizar técnicas y/o herramientas adicionales como:

- EMET

Ah! No olvidéis que el cortafuegos de Windows 8 (así como en Windows 7) es capaz de ser configurado para filtrar las conexiones de salida por aplicación y/o IP/Puerto; otra medida más que se puede utilizar para  proteger nuestra información.

Eso es todo desde Córdoba, mientras sigo viendo llover a través de la ventana, aprovecharé para tomar algo calentito.

Un Saludo.

Vía:





No hay comentarios :

Publicar un comentario en la entrada