jueves, 21 de enero de 2010

Vulnerabilidad: GDI+ (II)

Las vulnerabilidades basadas en la interfaz suelen clasificarse como muy importantes o críticas por el hecho de que la interfaz gráfica que pueden utilizar las aplicaciones de una determinada compañía se construyen de modo similar y por lo tanto comparten muchas características en cuanto al trato de los datos, tipos de archivo o modelos de presentación entre otros. Esto se traduce en que si se descubre una vulnerabilidad sobre la interfaz gráfica de una de las aplicaciones, esta se propague a otros productos “hermanos” y por ello su peligrosidad aumente. Además, otro factor que contribuye a ese aumento es la facilidad para producir fallos en la interfaz, punto de contacto con el usuario, debidos a esa vulnerabilidad. Esos fallos se presentarán entonces ante situaciones más cotidianas (más frecuentes entonces), con las consecuencias para la seguridad que conlleva la mayor exposición del sistema.

La vulnerabilidad que se presenta aquí (MS08-052) es una ampliación de la que se presentó anteriormente y referida a aspectos similares de desbordamientos de algunos tipos de datos vinculados a la interfaz. También se clasifica como “Crítica” desde Microsoft y es candidata a presentarse en la lista CVE como entrada oficial.

Afecta a las versiones 2000 y 2005 de SQL Server y puede permitir la ejecución remota de código sobre todo dentro de escenarios en los que un usuario accede a una página Web donde se le presentan algunos tipos de imágenes cuidadosamente manipuladas para explotar la vulnerabilidad cuando este las trata con alguna de las aplicaciones afectadas. Este tipo de escenarios están creados para poder atacar a víctimas a las que previamente se ha manipulado para acceder a los recursos dañinos, utilizando alguna de las técnicas de las que han cobrado protagonismo hoy en día y tratan de hacer que los usuarios utilicen enlaces encubiertos con propósitos específicos.

Se plantean problemas de corrupción de memoria para tipos de archivos de imagen “.EMF” (Enhanced Windows Metafile), de invasión de buffer relacionado con algunas librerías dinámicas del estándar “VML”, al analizar archivos “.GIF” que puedan contener marcadores gráficos y etiquetas malformados, de desbordamiento de buffer para archivos de imagen “.WMF” o de desbordamiento de enteros relacionado con archivos “.BMP”.

Dichos problemas son, como se ha dicho antes, similares a los vistos para la interfaz gráfica en la vulnerabilidad anterior y por ello las contramedidas a tomar también son muy parecidas. Mientras no se pueda instalar la actualización que ha puesto a disposición de sus usuarios Microsoft, se deben tomar una serie de medidas relacionadas con algunas librerías dinámicas como “gdiplus.dll” o “vgx.dll”, que deben quitarse del registro temporalmente, y con algunos procedimientos relacionados con la interfaz que deben desactivarse. Por otro lado será necesario tener especial cuidado con los permisos con los que los usuarios trabajan con las aplicaciones afectadas para no maximizar los riesgos de un posible ataque. Como se ha visto, por tratarse de contramedidas similares, no se aludirán en adelante.

Con estas vulnerabilidades de la interfaz gráfica se ven algunos fallos vinculados a archivos de imágenes que distan un poco de los ataques relacionados con elementos de código que no forman objetos a diferente nivel, más relacionados con etiquetados y malformaciones en la estructura de las imágenes. Como es habitual cuando se trata de explotar vulnerabilidades resulta interesante el escenario planteado por Microsoft en el que los atacantes “obligan” al usuario a ejecutar imágenes, y más concretamente en la creación por parte de esos atacantes de esas imágenes "mal formadas" para conseguir su objetivo.

No hay comentarios:

Publicar un comentario en la entrada