Windows

No falta quien considera "una acertada política de relaciones públicas" el hecho de que Microsoft revele algunos aspectos de su colaboración con las fuerzas policiales de diferentes países. En ese sentido han interpretado algunos el reciente anuncio de la existencia de COFEE, en la que sin embargo otros incluso han querido ver capacidades de "backdoor". Sinceramente no creo que ése sea el caso: una herramienta forense que requiere acceso local no puede interpretarse alegremente como una puerta trasera en los sistemas Windows, por mucho que algunos se empeñen. Al menos no en base a los escasos datos publicados. Y si COFEE dispone o no de capacidades criptoanalíticas avanzadas es algo que ahora mismo sólo puede ser objeto de especulación.

Sin embargo las recientes reuniones entre Microsoft y las fuerzas policiales nos han traído una nueva revelación que a mi modo de ver puede resultar mucho más preocupante que COFEE. Se trata de la posibilidad de que Microsoft esté recopilando datos sobre botnets a través de su popular Herramienta para eliminación de software malicioso, datos que pueden ser puestos a disposición de los cuerpos de seguridad.

El origen de esta nueva alarma es un reciente artículo de PC World, donde se habla de una herramienta de "caza" de botnets, que se está proporcionando a los cuerpos de seguridad, y se basa en los datos recopilados a partir de los 450 millones de usuarios que han instalado la Herramienta de eliminación de software malicioso que Microsoft incluye en Windows. Es decir: también desde tu ordenador y el mío...

Un fallo de diseño en la validación remota de certificados X.509 posibilita a un atacante obtener información relevante sobre el usuario que abre un email o un documento con Microsoft Office 2007, Microsoft Outlook 2007 y Microsoft Windows Live Mail 2008. No se descarta que otros productos de Microsoft que utilicen la misma API criptográfica puedan estar también afectados.

El problema ha sido descubierto por el investigador alemán Alexander Klink, y puede ser explotado por un atacante para generar peticiones HTTP a hosts y puertos arbitrarios sin que el usuario tenga conocimiento ni se le presente la opción de evitarlo. De esta manera un 'spammer' puede comprobar si una dirección email existe y cuándo es abierto un correo firmado con S/MIME y desde qué IP. También es posible saber cuándo y desde qué IP se abre un determinado documento mediante Office. El atacante puede también acceder así a otras máquinas y redes desde la máquina de la víctima o incluso a otras máquinas ocultas dentro de su propia red...

En su línea habitual, Microsoft afirma que Windows Server 2008 (que -por cierto- acaba de ser adoptado por MySpace) es el servidor Windows más seguro que nunca ha creado, pero -como también viene siendo habitual- no todo el mundo parece estar de acuerdo.

Así César Cerrudo, fundador y CEO de la empresa argentina Argeniss, afirma haber encontrado algunas debilidades que convertirían en inútiles las mejoras de seguridad de Windows Server 2008.

Para Cerrudo, se trata de problemas de diseño que no fueron identificados por los ingenieros de Microsoft durante el Security Development Lifecycle (SDL) y que permiten que cuentas utilizadas normalmente por servicios Windows puedan utilizarse para una escalada de privilegios que permita el control total del sistema operativo...

La autoejecución (AutoRun) es una característica presente desde Windows 95 -y habilitada por defecto- que permite que se realice automáticamente alguna acción al introducir un dispositivo extraible como un CDROM. Desde Windows XP, existe además AutoPlay, que presenta al usuario un menú de opciones. Microsoft explica que ambas características pueden desactivarse desde el editor de políticas de grupo, o poniendo a cero el valor de AutoRun en el registro y a 0xFF el valor de NoDriveTypeAutoRun.

Sin embargo, un fallo de diseño en todas las versiones de Windows Vista impide que NoDriveTypeAutoRun funcione de la forma descrita, por lo que algunas capacidades de AutoPlay pueden permanecer activas a pesar de que los valores del registro y el editor de políticas de grupo indiquen lo contrario. Como consecuencia, es posible que un atacante logre que el usuario ejecute inadvertidamente código arbitrario a partir de un CD o una unidad USB.

No existe aún solución definitiva en forma de parche, por lo que los usuarios de Windows Vista han de recurrir a contramedidas temporales para deshabilitar eficazmente la autoejecución y prevenir así este tipo de ataque...

Se trata de Dan Griffin, quien utilizando su propia herramienta de fuzzing (SCardFuzz) asegura poder explotar un desbordamiento de buffer en el plugin proporcionado por un fabricante indeterminado para acceder al Smart Card Minidriver de Microsoft en Windows Vista.

Griffin (que mostrará su hallazgo en CanSecWest 2008 la próxima semana) afirma poder colgar o controlar una máquina que ejecute Windows Vista (y probablemente XP también).