El jueves, Microsoft lanzó una alerta de seguridad para notificar a los usuarios de un problema en la mayoría de las versiones de Windows, pero no prometieron arreglar la falla, o, en caso de lanzar un parche, cuándo la falla sería solventada.
Hace poco más de tres semanas, Microsoft negó que el problema se tratara de una vulnerabilidad.
En una comunicación de seguridad publicada el jueves, Microsoft categorizó la vulnerabilidad como una “elevación de privilegios” que, de ser explotada, podía darle a los atacantes un acceso significativamente mayor a la máquina afectada. El defecto afecta a Windows XP Professional SP2, y a todas las versiones de Windows Server 2003, Windows Vista y al recién lanzado Windows Server 2008.
Aunque la falla es de Windows, es concebible que los atacantes la exploten a través de aplicaciones Web que corran sobre el servidor Web de Microsoft, Internet Information Services (ISS). También podría explotarse a través del servidor SQL, añadió Microsoft.
“Las aplicaciones Web por lo general corren en un modo menos privilegiado”, dijo Andrew Storms, director de operaciones de seguridad de nCircle Network Security Inc. “Usando las vulnerabilidades, los atacantes pueden saltarse ese privilegio hasta una cuenta de LocalSystem, que no es muy distinta de una cuenta administrativa. Es mucho lo que se puede hacer con una cuenta de LocalSystem”, dijo Storms.
Hace varias semanas, César Cerrudo, un investigador y consultor de seguridad de Paraná, Argentina, anunció que revelaría una falla de Windows en una conferencia futura. La vulnerabilidad, dijo Cerrudo a finales de marzo, podría permitirle a los atacantes sobrepasar los esquemas de seguridad en las versiones más recientes del sistema operativo, incluyendo Windows Server 2008.
En una historia publicada por el sitio SearchSecurity.com, Cerrudo dijo que los ataques podrían lanzarse a través de IIS, y que la amenaza podría mitigarse al correr las aplicaciones Web bajo cuentas diferentes de NetworkService, LocalServicey Localsystem.
En ese momento, Bill Sisk, un vocero del Centro de Respuesta de Seguridad de Microsoft (MSRC por su nombre en inglés), dijo que la información de Cerrudo parecía ser sobre una falla de diseño más que acerca de una verdadera vulnerabilidad. Sisk también desestimó la amenaza. “La presentación no describe métodos para que un atacante obtenga acceso a cuentas confiables”, dijo a SearchSecurity.com.
Sin embargo, el jueves, Cerrudo reveló la vulnerabilidad en una presentación en el HITBSecConf2008, una conferencia de seguridad que empezó el lunes y terminó el jueves en Dubai, Emiratos Árabes Unidos; Microsoft siguió la presentación con sus asesores.
El viernes, la compañía confirmó que las revelaciones de Cerrudo provocaron una reacción en los asesores de seguridad. “Sí, el aviso de seguridad anunciado ayer y la presentación de un investigador en Dubai están relacionadas con el mismo problema”, dijo una vocera de la compañía en un correo electrónico.
Como suele hacer Microsoft en sus anuncios, no se prometió la creación de ningún parche. “Al término de la investigación, Microsoft tomará las acciones que crea indicadas para ayudar a proteger a nuestros clientes”, dijo Sisk en un artículo en el blog del MSRC. “Esto podría incluir proveer actualizaciones de seguridad a través de nuestras actualizaciones mensuales”.
Pero Microsoft rara vez lanza un aviso de seguridad sin proveer, más adelante, un parche, puntualizó Storms.
El próximo lanzamiento de un parche de Microsoft está programado para el 13 de mayo.
Gregg Keizer