Alerta Con esta Vulnerabilidad. (Lectura altamente recomendada)

 

 
¿Puede la vulnerabilidad de Windows Schannel ser explotado al visitar una página web?

Microsoft acaba de parcheado una vulnerabilidad en Schannel que podría permitir la ejecución remota de código (MS14-066) . Lo que no puedo encontrar ningún detalle son fiables sobre cómo esto puede ser explotado. He visto algunas personas afirman que sólo se puede aprovechar si se está ejecutando un servidor web en Windows. Pero el portal de noticias alemán Heise afirma que también es explotable por visitar sitios web .

Varios expertos han comenzado a experimentar con la vulnerabilidad en SChannel (WinShock) (CVE-2014-6321, MS14-066). Hasta el momento todavía no hay ningún exploit público disponible para la vulnerabilidad y los detalles aún son escasos pero según Dave Aitel, ya hay algunos avances en el desarrollo de un exploit que puede:

– puede explotarse antes de cualquier autenticación, en métodos que se llaman al principio por muchas, muchas aplicaciones, bibliotecas y servicios.
– siempre acaba con los privilegios de SYSTEM, de forma local o remota. Un exploit para “Modo Dios” con 100% de éxito.
– puede utilizarse de varias maneras y el código defectuoso está muy expuesto. Todo, incluyendo Windows 2000 en adelante es vulnerable.
– el código heredado se ejecuta siempre. Esto significa que las protecciones modernas como EMET no funcionan. (ojo)

Johannes B. Ullrich publicó en ISC un escáner experimental en Bash que puede ser útil para verificar sistemas sin parchear. Este escáner no busca la vulnerabilidad sino que analiza el soporte para los 4 nuevos cifrados que se agregaron en MS14-066. Es un script bash y usa OpenSSL sobre *Nix. Para utilizarlo es necesario conectarse directamente al servidor de prueba.

Emerging Threats también lanzó algunas reglas para SNORT que prometen cubrir varias de las vulnerabilidades parcheadas en el boletín MS14-066.

Actualización 17/11: ya se habla de posibles exploits públicos y alguien amenaza con publicarlos. Se ha publicado un exploit para MS14-064 en Windows Object Linking and Embedding (OLE) y explotado en Sandworm, pero no para MS14-066.

Actualización: Microsoft acaba de informar de problema con la actualización MS14-066, que podrían tener que llevar a cabo tareas manuales sobre el registro del sistema operativo.

FUENTES:
https://support2.microsoft.com/kb/2992611/en-us

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6321

Leave a Comment