MS12-020 y la importancia de las actualizaciones en Windows

 

Cada mes, dependiendo de cómo estén configuradas las actualizaciones automáticas en Windows, un mensaje parecido al anterior aparece en la parte inferior derecha de la pantalla. Muchas veces el mensaje es ignorado debido a diversas razones como por ejemplo que estamos navegando en varios sitios web y no deseamos reiniciar el computador en ese preciso momento o tal vez porque tenemos instalada una versión pirateada de Windows y tememos que se instale una actualización que detecte que no es original (el famoso WGA – Windows Genuine Advantage) o, incluso, porque la persona que nos instaló Windows nos dijo que no hiciéramos caso omiso de las actualizaciones con el fin de “evitar problemas” en el sistema (es decir, la instalación de WGA el cual, una vez instalado, muestra molestos mensajes afirmando que la copia de Windows no es original).

Independientemente de la razón, la intención de este post es resaltar la importancia de la descarga e instalación de las actualizaciones críticas y de seguridad en Windows. Si bien la gran mayoría pasan desapercibidas debido a que son soluciones a fallos de menos severidad, cada cierto tiempo Microsoft anuncia boletines de seguridad que son de gran ayuda para  mitigar un potencial riesgo que puede afectar de forma importante los sistemas computacionales alrededor del mundo.  Un ejemplo de un boletín de seguridad de este tipo es el famoso MS08-067 que da solución a la vulnerabilidad CVE-2008-4250 que permite la ejecución remota de código (RCE – Remote Code Execution) mediante una petición RPC malformada. Dicho tipo de vulnerabilidad, una vez aprovechada correctamente, permite tomar control completo de un sistema vulnerable mediante un ataque a través de Internet. La ejecución automática de un ataque como estos da lugar a la creación de un “gusano”, un tipo de código malicioso que se replica a sí mismo con el fin de infectar, de forma automática, la mayor cantidad de computadores posibles. El boletín MS08-067 fue liberado en Octubre 23 de 2008 y en tan sólo un mes apareció  Conficker, uno de los códigos maliciosos más masivos de los últimos tiempos que, en su mejor momento, alcanzó a infectar más de nueve millones de máquinas alrededor del mundo.

El pasado 13 de marzo un boletín de similares características fue publicado por Microsoft. Al igual que MS08-067, MS12-020 también permite la ejecución remota de código mediante la explotación de una vulnerabilidad en el protocolo de escritorio remoto (RDP- Remote Desktop Protocol) el cual está diseñado para permitir a los administradores de red acceder a los sistemas de forma remota. La buena noticia es que RDP no está habilitado por defecto en Windows. La mala noticia es que, de acuerdo con el experto en seguridad informática Dan Kaminsky, aproximadamente 5 millones de computadores en Internet podrían tener RDP habilitado lo cual es una considerable superficie de ataque para una potencial amenaza del estilo de Conficker. La categorización “crítica” de la vulnerabilidad llamó la atención de expertos en computación en todo el mundo dando inicio a una carrera por desarrollar el primer exploit que aproveche una de las dos vulnerabilidades solucionadas por el parche de Microsoft. Incluso en algunos sitios en Internet ofrecen una recompensa para el que logre dicha hazaña. Efectivamente dos días después de anunciado el boletín de seguridad una prueba de concepto (PoC) que explota la vulnerabilidad solucionada por MS12-020 fue encontrada y verificada por Microsoft. Sin embargo, dicho PoC sólo permite realizar un ataque de denegación de servicio (bloqueo/reinicio del computador) por lo que la carrera por un exploit que permita ejecución remota de código (RCE), y que teóricamente daría lugar a la creación de un nuevo gusano, aún continúa.

Con el fin de mitigar el riesgo de una posible infección o de una denegación de servicio, se recomienda aplicar las siguientes medidas de seguridad:

  • Instalar las últimas actualizaciones de Windows, en especial KB2621440 y KB2667402 que son las que mitigan el riesgo de ataques de RCE (Remote Code Execution) y DoS (Denial of Service):

  • Mantener deshabilitada la conexión mediante escritorio remoto a menos que sea estrictamente necesario tenerla habilitada. En Windows 7 se puede deshabilitar en botón derecho en “Equipo” -> “Propiedades” -> “Configuración de Acceso Remoto” -> “No permitir las conexiones a este equipo”:

 

  • Implementar medidas de seguridad a nivel de red como bloquear el puerto TCP 3389 (RDP) y utilizar IDS (Intrusion Detection Systems) para mitigar el riesgo de posibles ataques de denegación de servicio.

Diversas vulnerabilidades son descubiertas cada día al igual que los parches que las solucionan. La protección muchas veces está disponible, sólo depende de nosotros tomarnos unos minutos cada mes para disminuir el riesgo de un potencial ataque y con esto proteger la confidencialidad, integridad y disponibilidad de nuestra información.

Categories: Seguridad Informática, Vulnerabilidad

Leave a Reply

Your email address will not be published. Required fields are marked *