El cazador cazado: un ataque a Microsoft que salió desde… Microsoft

(Por Rubén Borlenghi, el Microsaurio) No es un destrabalenguas. Es el caso de una pieza de código dañino, diseñada para atacar una falla de Microsoft, donde se encontró material provisto por esa empresa. La encontró un italiano quedescubrió que hay forma de entrar donde no se debe ¿Parece una de espías? Vení que te cuento

Vamos a contarlo cronológicamente, así se entiende. En mayo de 2011 un investigador italiano, Luigi Auriemma, descubrió una falla en el código de productos Microsoft. Específicamente, se trata de errores de programación en el Protocolo de Escritorio Remoto.
<aparte-pedagógico>
Por si no lo recuerdan, el Escritorio Remoto es un procedimiento empleado legítimamente para trabajar en una computadora físicamente distante, y se emplea desde que en las polvorientas épocas del servidor con clientes apareció el concepto de ventana con escritorio, para que un Administrador observe por qué cuernos funciona mal la compu del Usuario Local. En épocas más cercanas se empleó para que un técnico trabaje en una PC de un cliente, o para que alguien se conecte con su compu desde un lugar remoto, a fin de tomar un archivo que esté en ella y modificarlo. Trabajar a distancia, en resumen. También sirve para que un intruso se meta en la compu sin permiso, si logra aprovechar un error en al programación del producto…
<fin-aparte-pedagógico>
Volvamos. El italiano descubrió en mayo del año pasado que hay forma de entrar donde no se debe. Se lo comunica a la empresa Tipping Point, que se dedica a trabajar como intermediario entre los hackers y las Corporaciones.
En agosto, luego de un intercambio de email y de $$$$, Microsoft reconoce que hay una falla y se pone a trabajar para remediarla, utilizando código de prueba proporcionado por Auriemma. Además (curiosamente) el 9 de agosto desde Redmond se publica el Boletín de seguridad MS11-065 que detalla una falla muy similar e indica que están afectados XP y Windows Server 2003.
El pasado 13 de marzo Microsoft, entre los parches del mes, publica el MS12-020 mencionando la existencia de vulnerabilidades en el Protocolo de Escritorio Remoto, indicando que para Windows XP y Server 2003 ese Boletín reemplaza al MS11-065 que mencioné arriba, y señalando que están afectados también… todos los demás sistemas operativos de la empresa.
Y agregan que es muy probable que dentro de los siguientes 30 días aparezca código que explote esa falla.
Acá comenzó el culebrón. Un día y medio después apareció en un muy conocido repositorio online el mencionado código de ataque.
Lo siguió otra versión, e incluso un malévolo programador posteó algo que parecía código de ataque contra la vulnerabilidad de Windows, y que incluía, escondida en su código, una rutina que borraba el disco duro.
Parece que aparecieron tres versiones y algún troyano, que emplean código relacionado, según contabilizó Cristian Borghello en un excelente y muy completo resumen publicado esa misma semana en Segu-Info donde además comenta que Windows 2000 también está afectado. Y sabemos la cantidad de gente que todavía lo usa…
Al enterarse de la aparición del código de ataque el descubridor original, Auriemma, que afirma que jamás lo entregó a extraños, revisó ese material y descubrió que contenía partes de aquél que su representante entregó a Microsoft. Le cae muy mal… y publica su código original que ataca esa falla de Windows.
El día 16 de marzo Yunsun Wee, director de Trustworthy Computing de Microsoft, publica en un blog una aclaración: verificaron que el código publicado subrepticiamente coincide con el que prepararon técnicos de Microsoft mientras trabajaban con esa vulnerabilidad, y que se comunicó a los participantes del Microsoft Active Protections Program (MAPP). Esos “partners” son empresas de seguridad informática (y corporaciones) que reciben datos avanzados y secretos sobre fallas que más tarde se comunicarán al público en general mediante un Boletín de Seguridad. Les dan tiempo a que preparen detecciones de antivirus, o solucionen fallas en sus propios sistemas. Si querés saber quienes son esos privilegiados MAPP, están acá, hacele clic a la lista desplegable en “Select a Partner”. Hay de todo, desde antiviruseros hasta entidades pertenecientes al gobierno chino (!!!???).
Curiosamente, el primer código publicado “por zurda” el día 15 fue bautizado por algunos investigadores estadounidenses “that chinese shit” ¿aludirían al origen del material? Pero claro, eso no quiere decir nada. En estas épocas una IP ya no señala a nadie en particular, excepto que sea un pobre Usuario Final.
En resumen, el material que se publicó sin permiso en la web contiene partes de un código que estaba dentro de una oficina de Microsoft, fue transmitido via email por Microsoft y quedó copiado en las PC de decenas de empleados de confianza dentro de empresas en las que Microsoft confía. Ah, bueno.
Así están las cosas. Si me entero de algo más, seguro te chiflo. Mientras tanto, revisá que el Escritorio Remoto no esté habilitado en tu PC,¿dale?

Ricardog

Periodista científico especializado en tecnología. Médico en retiro efectivo.

Ver todas las entradas de Ricardog →

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.