Boletines de Seguridad Microsoft de abril: once conocidos y una sorpresa

(Por El Microsaurio) Los damnificados son el kernel de Windows, Publisher, Exchange y dos o tres pequeñeces parecidas… En total, veinticinco vulnerabilidades descriptas en once boletines, tal como lo comentamos el viernes; pero lo novedoso fue la descripción de un flamante sistema de detección de rootkits.

Detallar los once boletines es algo que ocupa mucho espacio (igual que los elefantes), así que te dejo que te deleites con esta página oficial.
Acá va un resumen, tomado de la excelente descripción provista por Jerry Briant, Group Manager, Response Communications del MSRC (Microsoft Security Response Center):

• MS10-019: afecta a todas las versiones de Windows; el componente afectado es el sistema de autenticación de archivos tipo PE y CAB, por lo cual un atacante podría hacer que una PC identifique (y ejecute) un malware como si fuera un archivo producido por Microsoft.
• MS10-020: fallas en SMB; requiere que un usuario acepte una conexión SMB con un server SMB “malintencionado”. Afecta a cualquier sistema cliente SMB.
• MS10-021: vulnerabilidades en el Kernel de Windows, en todas las versiones. El atacante puede obtener permisos de administrador (¿querés más?).
• MS10-022: vulnerabilidad de VBScript. Al visitar un website, si se presiona F1 como respuesta a una página con malware, un atacante podrá tomar el control del equipo. No están afectados Vista, Siete y Server 2008.
• MS10-023: Posibilidad de que un equipo sea atacado al abrir un archivo de Publisher que contenga código dañino. Vulnerables: Publisher 2002-2003-2007.
• MS10-024: Posibilidad de Denegación de Servicio en servidores Exchange por falla en SMTP. No están afectados: Exchange Server 2007 y 2010 para x64.
• MS10-025: falla en Windows Media instalado en Windows 2000 Server. Afecta solamente a servidores.
• MS10-026: vulnerabilidad en codecs de audio MPEG Layer 3 de Microsoft. Vehículo: un archivo AVI especialmente conformado. Afecta a casi todos los SO, con excepción de Windows 7 (todas las variantes), Server 2003 para Itanium, Server 2008 para x64 y para Itanium.
• MS10-027: defectos en el código de Windows Media Player Serie 9. Afecta a Windows 2000 y XP. Vehículo de ataque: un archivo multimedia dañino alojado en un website.
• MS10-028: fallas en Visio (versiones 2002-2003-2007) que se aprovechan para generar un archivo Visio con código maligno que podría ejecutarse sin autorización.
• MS10-029: vulnerabilidades en el componente ISATAP. Un atacante podría falsear una dirección IPv4 (el famoso spoofing, agrego). No afectados: Windows 2000, Siete (todas las variantes), Server 2008 para x64 e Itanium.

¿Y la sorpresa?
Hagan memoria. En febrero se publicó el Boletín MS10-015, una actualización del Kernel de Windows, y bastantes usuarios informaron que los equipos se colgaban después de actualizar. Desde Microsoft revisaron el tema, y descubrieron que los equipos afectados estaban parasitados por el rootkit Alureon, y por eso la actualización, al tocar código que estaba capturado por el rootkit, fallaba.
A partir de este mes, y cada vez que se haga una actualización del Kernel, se incluirá un sistema lógico de detección de binarios que mostrará un cartel de error al usuario en caso de encontrarse con anomalías. Dicen desde el MSRC: “…los clientes que se encuentren con este error deben contactar a nuestro Servicio de Atención al Usuario (…) para que los ayuden a determinar si tienen malware en sus sistemas…”
Espero muy sinceramente que no te salga ningún cartelito de esos, porque significa que se te escapó una grossa. En ese caso, ajo y agua, y preparase para una reinstalación de aquellas…