lunes, 21 de abril de 2008

Debilidad día cero: CVE-2008-1436

Para variar, una debilidad de día cero, para la cual no hay parche.
Referencia CVE: CVE-2008-1436
Referencia Microsoft: http://www.microsoft.com/technet/security/advisory/951306.mspx
Referencia Secunia: http://secunia.com/advisories/29867/
Referencias diversas: http://www.scmagazineus.com/Microsoft-warns-of-zero-day-Windows-flaw/article/109171/

Existe una debilidad en  sistemas operativos Microsoft (XP, Vista, Windows 2003 Server) que cuenten con la aplicación IIS (Internet Information Server) o SQL Server configuradas de cierta manera. Existe poca información al respecto, pero al parecer un atacante que ya tenga acceso válido al sistema podría intentar obtener mayores privilegios dentro del sistema.

Ya vi en Milw0rm código de concepto para realizar código de explotación. Supongo que tendremos que esperar hasta mayo para un parche.

Un poco más de información del sitio de Microsoft:
==================
How is IIS affected?
User-provided code running in IIS, for example ISAPI filters and extensions, and ASP.NET code running in full trust may be affected by this vulnerability.

How is SQL Server affected?
SQL Server is affected if a user is granted administrative privileges to load and run code. A user with administrative privileges could execute specially crafted code that could leverage the attack. However, this privilege is not granted by default.
==================