viernes, diciembre 05, 2008

Vulnerabilidades MS08-067 rondan por ahí


   Hace unos días leí en el SANS acerca de un malware (virus, worm, trojan o en lo que se haya convertido hoy) que ha sido descubierto rondando por el Internet y que explota la vulnerabilidad MS08-067 ya comentada. Esto nos demuestra que los zero-day exploits son totalmente una realidad pues no tiene mucho tiempo que MS anunció el problema y simplemente al día siguiente ya existía código creado para explotarla. El código fue creado por hackers que hicieron ingeniería inversa.

Steve Gibson en Security Now comentó que afortunadamente el Internet ha cambiado y veremos la propagación de este malware mucho más lenta que lo que sucedió con "Code Red". En eso estoy de acuerdo con Gibson, y gran parte de que hoy no estemos envirulados como hace algunos años se lo debemos en gran parte a Microsoft que decidió poner como configuración estándar el firewall en XP y Vista. Pero también muchas cosas no han cambiado, ¿Cómo cuales?

Bueno, para empezar los usuarios y administradores de sistemas debimos de haber aprendido la lección y parchar nuestros sistemas. Pues no, de acuerdo a un reporte de Microsoft la mayoría de las máquinas infectadas pertenecen a sistemas corporativos. Cuales son las razones de esto, supongamos:

- Para usuarios caseros el firewall y los updates de sistema vienen activos por defecto. Así que la mayoría o esta haciendo los updates o continua con el firewall cerrado lo que hace que la vulnerabilidad no afecte a menos que te caigo algún otro virus por otro lado que desactive el FW.
- Para los corporativos. El firewall esta deshabilidato porque la aplicación casera X o comprada W trabaja en el puerto Y y pues es más fácil desactivar el FW que ver la documentación técnica para ver que puerto abrir.
- Como el ambiente es super "estricto" no podemos aplicar ningún parche hasta que el comitéde cambios se reuna el siguiente mes y de el VoBo. Mientras desactivamos el update automático, que además como soporte técnico suponemos que va a romper algo cada vez que se actualice.
- Como el update automático esta deshabilitado nos tardamos 3 meses en darle la vuelta a todas las máquinas de la empresa. Al fin somos pocos en soporte y tenemos mucha chamba.

    Y el resultado, bueno. Ya saben cual es. 

    Aquí les dejo un tip de como usar NMAP para checar si sus sistemas están vulnerables. El script que cheque toda la red y arroje los resulados en XML o simple texto se los dejo de tarea pero no es muy complejo de hacer.


No hay comentarios.: