Boletines Microsoft de abril: ¡a emparchar, señoras y señores!

(Por El Microaurio) Tal como adelantamos la semana pasada, son diecisiete boletines, que cubren 64 fallas de programación. Los vectores de ataque más usuales pueden ser archivos de Office o páginas web con código dañino escondido, más algún ataque disfrazado con un poco de sofisticación. Además desde Redmond hay una par de herramientas nuevas. Ponete cómodo, que te cuento…

Detallar tantos boletines, uno por uno, mencionándolos del MS11-018 al 034, con las fallas descubiertas o los escenarios de ataque, no me parece práctico existiendo información específica original de fábrica, tanto en inglés como en español. Prefiero ordenar el aluvión especificando si se ha publicado ya el código de ataque en Internet para determinada falla, o no. En otras palabras, saber si el ataque puede llegar esta noche, o demorará… cuatro días, dos semanas…
Ahí vamos.

Productos con fallas de seguridad, con un método de ataque que ya se explicó por Internet, o que ya se usó en una agresión real:

• Internet Explorer, versiones 6-7-8. Internet Explorer 9 no está afectado por ninguna vulnerabilidad descripta este mes.
• La aplicación SMB, cliente o server, de todos los sistemas operativos de la empresa (de XP a Siete, más los Servers, claro)
• Las aplicaciones que componen Office XP, 2003, 2007, Office 2004 for Mac y Office 2008 for Mac, además del Open XML File Format Converter para Mac.
• Visual Studio .NET 2003, Visual Studio 2005, 2008 y 2010; Visual C++ Redistributable Package 2005, 2008 y 2010.

Productos o componentes para los cuales ya se publicó la falla en Internet, pero Microsoft opina que será difícil o poco probable (!) que se programe código de ataque:

• El componente que maneja el protocolo MHTML dentro de Windows XP, Vista y Windows 7
• El Editor de Portadas de Fax que se provee con Windows (todos). Es cierto que el uso de fax bajó terriblemente en las empresas, pero… bueno, ahí está. Los archivos de Portada de Fax usan la extensión *.cov (por “cover”, portada) y se ha descubierto la forma de iniciar la ejecución de código dañino escondido dentro de una portada de fax (mirá qué paciencia para buscar tienen los chicos malos).

Curiosidades peligrosas:

• Conté nueve vulnerabilidades en Excel y varias en PowerPoint, que fueron detalladas hoy en la Internet. Por lo tanto, para que te quede claro, hay nueve formas flamantes de empomarte enviándote por email una inocente planilla, y otras más para amargarte el laburo por mirar una PPT. Cuidado con eso.
• Se solucionaron treinta vulnerabilidades del Kernel de Windows (¡vamos todavía!). Para emplearlas en un ataque, el invasor debe entrar en el sistema con un nombre de usuario y una contraseña válidas. Cosas que, como sabemos, es dificilísimo conseguir… 😉
• Eliminaron dos fallas en componentes del sistema de interfaz gráfica de Windows, y una en la forma en que Windows usa las fuentes OpenType.
• Hay novedosas formas de robar información a los usuarios de Internet Explorer 6 y 7 por medio de fallas de JavaScript (oh, cáspita, Batman…)

La recomendación del MSRC es muy clara: si un administrador de sistemas va a instalar los parches “a mano”, para verificar posibles contratiempos, se debe cargar primero el MS11-018, que corresponde a los Internet Explorer.
Luego el MS11-019 y el 020, que corresponden a los problemas en SMB cliente (el 019) y SMB servidor (el 020). Después van el 027 y 028 (problemas en ActiveX y .NET). Eso completa la primera etapa.
Segundo bloque (prestar atención al orden, que no es arbitrario):
031-030-032-026-021-022-023-029; aquí cubren las vulnerabilidades en JavaScript, Office, fuentes OpenType, los ataques a MHTML (vehículo predilecto, el correo electrónico), la interfaz gráfica.
Tercer bloque, si no te demoraste mucho evaluado las aplicaciones de terceras partes que dejaron de funcionar al instalar el primero y el segundo: las actualizaciones indicadas en los boletines 033-034-025 y 024, donde te solucionarán un problema de WordPad (no somos nada) en WP y Server 2003 , los drivers del Kernel y MFC/Visual Studio (eso es grosso) y la bendita Portada de Fax de Windows.

Queda para más adelante comentar la aparición de dos herramientas de descarga gratuita pero que no bajan automáticamente, Office File Validation, un detector que examina un archivo de Office que estás por abrir, para ver si corresponde a normas o contiene malware; y una actualización del Loader (cargador) del sistema operativo, del cual me dicen que será una herramienta para obstaculizar el funcionamiento de rootkits. Específicamente, no los remueve, los pone en evidencia para que el antivirus que resida en la PC los pueda neutralizar. Suena muy bueno, habrá que estudiar estas novedades.

Mientras tanto, feliz larga noche con litros de café, querido/a admin. Ah, claro, también tendría que comentarte lo que avisó la gente de Adobe, sobre el archivo de Word que contiene una animación Flash que esconde malware. El archivo viene en un email (¡cuándo no!) pero basta, la seguimos otro día; suficiente pálida por hoy.