Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Mejoran exploit que afecta al kernel de Windows
 
VSantivirus No 2628 Año 11, jueves 31 de enero de 2008

Mejoran exploit que afecta al kernel de Windows
http://www.vsantivirus.com/31-01-08.htm

Por Angela Ruiz
angela@videosoft.net.uy

El exploit para la vulnerabilidad que afecta al protocolo TCP/IP en Microsoft Windows, sigue dando que hablar. La vulnerabilidad se produce porque el kernel de Windows realiza una validación insuficiente cuando almacena el estado de las solicitudes IGMP que procesa TCP/IP.

TCP/IP es el conjunto de protocolos de comunicaciones que se usa para transmitir datos a través de las redes.

IGMP es el protocolo de administración de grupo de Internet, que se utiliza para la comunicación entre un solo emisor y múltiples receptores en una red (IPv4).

Hace una semana, publicábamos que Immunity Inc., la compañía creadora del software CANVAS, utilizado para pruebas de penetración, había actualizado su herramienta para hacer pruebas valiéndose de la vulnerabilidad mencionada.

Esta semana, una versión mejorada del exploit, demuestra que la vulnerabilidad es altamente explotable, a pesar de lo que afirma Microsoft. Aún así, Immunity reconoce que este nuevo exploit no es 100% confiable.

En una animación en Flash colgada en el sitio de Immunity, se puede apreciar el exploit en acción. Allí se puede comprobar como dos equipos con Windows XP SP2 sin el parche publicado en el boletín MS08-001, son comprometidos a pesar del firewall de Windows, activo en ambas máquinas, demostrando la posibilidad de ejecución remota de código.

Es posible que esta ejecución se realice en el contexto del kernel de Windows, lo que podría ser especialmente crítico en Windows Vista, ya que un usuario remoto podría introducir código aún a pesar de las restricciones para ejecutar comandos a ese nivel de forma local (aún siendo administrador del PC). Y además, sin ningún tipo de autenticación.

Lo cierto es que las posibilidades de sacar provecho de este problema para introducir troyanos y rootkits en los sistemas de los usuarios que no han instalado el parche del boletín MS08-001, aumentan enormemente.

Es muy probable que en los próximos días (o tal vez horas), alguien cree una forma de explotar esto por medio de un malware, comprometiendo a miles de equipos en pocos minutos.

Es de vital importancia que los usuarios de Windows Vista y Windows XP, actualicen a la brevedad su sistema instalando los últimos parches, especialmente el descrito en el boletín MS08-001.


Relacionados:

Demostración en Flash:
http://immunityinc.com/documentation/ms08_001.html

MS08-001 Ejecución de código vía TCP/IP (941644)
http://www.vsantivirus.com/vulms08-001.htm

Exploit para primera vulnerabilidad de Windows en 2008
http://www.vsantivirus.com/23-01-08.htm








(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2008 Video Soft BBS