Microsoft: trece boletines y un arrugue a tiempo

(Por Rubén Borlenghi, el Microsaurio) ¿No eran catorce? Hasta anteayer, sí. Pero no. Y por suerte retiraron uno, o algunos admin estarían llamando al cardiólogo… “para evitar perjuicios a los usuarios, habían pospuesto la aparición de ese boletín”. Eso sí, con los trece que llegaron este martes hay para entretenerse el resto de la semana. Traigan el mate y el banquito…

Por qué falta uno
Según explica doña Angela Gunn en el blog del Microsoft Security Response Center, después de publicar el jueves pasado la lista de posibles boletines de seguridad, un técnico de la empresa les avisó que uno de los candidatos a boletín contenía un parche que podía afectar a programas muy conocidos, provistos por Empresas Colegas. Y que, para evitar perjuicios a los usuarios, habían pospuesto la aparición de ese boletín hasta eliminar el problema de incompatibilidad.

Ni corto ni perezoso, me puse a revolver la web. ¿Cuál sería el software discretamente no mencionado?
Y encontré la Nota de Seguridad de Microsoft número 2588513, la que recuerda la falla de diseño que implica una brecha de seguridad en SSL 3.0 y TLS 1.0. Mirá vos. Es la misma falla que aprovecharon Juliano Rizzo y Thai Duong para presentar en la Ekoparty 2011 su BEAST (Browser Exploit Against SSL/TLS). ¡Ahhhh! ¡Hubiéramos empezado por ahí!!

Software afectado, si se publicaba el Boletín Fallado (pónganse cómodos):

• Productos variados para montar o mantener VPN, provistos por Check Point, Cisco, Hamachi, y hasta el Forefront Unified Access Gateway. Y los Open Source, como OpenVPN, Openswan y unos cuantos más
• Productos que emplean SSL 3.0 y TLS 1.0. Por ejemplo, OpenSSL implementa el protocolo TLS 1.0
• Los navegadores de Internet. No todos soportan TLS 1.0, pero de todas maneras alguno tendrá que retocar su versión para Windows, luego de un parche de Microsoft que afecte la seguridad en la Capa de Transporte.
• Justamente, la lista de aplicaciones mencionada en la página correspondiente de la Wikipedia es para poner nervioso a cualquiera, ya que dice que varias versiones de estos protocolos se emplean ampliamente en navegadores web (lo que comenté arriba), correo electrónico, mensajería instantánea y telefonía IP.

Ahí termina el tema del No-Boletín. Los trece que sí se publicaron están numerados del MS11-087 al 099; tres de ellos están marcados como “Críticos” y diez como “Importantes”. Solucionan 19 fallas de programación de desarrolladores de Microsoft (las famosas “vulnerabilidades”) y hay que tener en cuenta que el código de ataque para una de las vulnerabilidades, la que se menciona en el Boletín 092, ya está publicada en Internet al alcance de los malintencionados de siempre.

Cuál se instala primero
Acostumbro revisar la lista de prioridades publicada por el MSRC, y destinada a los administradores de las corporaciones que no bajan los parches a sus servidores y clientes sin prever las consecuencias, porque allí se mencionan detalles que no aparecen en otra parte. Cuando son muchos Boletines (como en este caso), el orden de instalación se suele dar en grupos; generalmente está relacionado con la posibilidad de recibir ataques, y con lo que se puede romper si no está instalado previamente otro código en el sistema operativo.

Ahí vamos:
Primer grupo

• MS11-092 – cubre una falla del reproductor de Windows Media y Windows Media Center. Es el mencionado arriba, no instalarlo es muy peligroso porque el procedimiento de ataque ya se conoce públicamente, y el vector es un archivo malicioso de video digital.
• MS11-087 – soluciona la falla en algunos drivers de modo Kernel de Windows para fuentes, que dejaba abierta la puerta para el ataque preparado por los diseñadores de DuQu.

Segundo grupo

• MS11-089, 091, 094, 096 – solucionan problemas de programación en componentes de Office: Word, Excel, PowerPoint y Publisher. En todos los casos, el vector es un archivo de ese tipo. También están afectadas las versiones de Office for Mac
• MS11-090 y 095 – corresponden a vulnerabilidades en distintas versiones de sistemas operativos de Microsoft, para cliente (XP, Vista, Siete) o servidor (2003, 2008) disparadas mediante archivos ActiveX en una web o el ingreso a un dominio de Active Directory
• MS11-099 – resuelve tres vulnerabilidades de Internet Explorer, e involucra todas las versiones de IE actualmente soportadas por la empresa (IE 7-8-9) y por supuesto que también el innombrable (IE6), que corren sobre los correspondientes sistemas operativos (todos…)

Tercer grupo

• MS11-088 – el único relacionado con fallas de Office, en esta posición de prioridad, y corresponde a los usuarios de Windows en idioma chino; puede producir ejecución de código dañino en modo Kernel. Hmmm por esa región se está poniendo complicada la cosa…
• MS11-093, 097 y 098 – solucionan fallas de sistemas operativos, a saber: OLE en XP y 2003, CSRSS en todos (clientes y servidores), Controlador de Excepciones del Kernel (todos los SO de 32 bit)

Eso es todo por hoy, queridos amigos admin. Que les sea leve, que no se rompa nada, y que los parches del 10 de enero los encuentren tranquilos (sí, esa el la fecha de los próximos Boletines de Microsoft).
Tranquilos… si los dejan, porque les cuento que mientras escribo esta columna acabo de ver en Cierto Lugar de la web que ya están detallados los ataques para Word 2007-2010, y Excel y PowerPoint 2007. Y no hay que dejar de lado cómo aumentó, por parte de los investigadores, el examen detallado para encontrar fallas en los drivers de modo Kernel de Windows, en lo que va del año.

Bueno, los archivos de Notepad todavía pueden servir para comunicarse…