sábado, 25 de octubre de 2008

Actualización del MS08-067 al día 24 de octubre.


Viernes 24 de octubre de 2008
.
Ayer comenté de la publicación fuera del ciclo normal de parchado del MS08-067. ¿Qué ha pasado al día de hoy? Pues han surgido nombres como Blaster o Code Red, tal cual fueran zombies de un pasado no tan lejano donde reinaba la era de los gusanos de propagación masiva-destructiva. Y el temor ha vuelto a apoderarse de las mentes de algunos administradores de sistemas y de seguridad que cuentan sus historias de "dónde me encontraba ese día" y cómo llegaron las primeras noticias de infección. Esos años maravillosos. Esta nueva debilidad nos recuerda a esos RPC-gusanos que llegaron a los titulares en su momento.

En fin, después de verme poético con este asunto de los gusanos vamos a los detalles realmente importantes. Los señores de Immunity al parecer ya han creado código de explotación tan sólo dos horas después de la publicación del parche. Este código sólo está disponible para sus clientes pero demuestra que es posible sacar provecho de la debilidad. De hecho ya existe un gusano llamado Gimmiv.A de severidad baja que explota puntualmente esta debilidad.

ThreatExpert da varios detalles de este gusano llamado Gimmiv.A: crea varios archivos winbase.dll, basesvc.dll y syicon.dll y levanta un proceso llamado BaseSvc. El gusano intenta robar contraseñas del equipo local y de Outlook Express y manda estos datos vía Internet cifrándolos con AES. Es de resaltar que el gusano manda peticiones especialmente diseñadas tipo RPC a otros equipos (¿les parece conocido?).

Es de resaltar que Gimmiv manda esta petición tipo GET: test1.php?abc=2?def=2. Noten la palabra "test"...será que el creador está probando sus habilidades con el fin último de crear un gusano más potente y/o eficiente? Hay rumores de que este Gimmiv no es nuevo y que es una variante de uno que ha estado un par de semanas haciendo de las suyas.

Por otro lado, es conocida la ubicación del código de concepto alojado en el popular milwOrm. Un investigador llamado Stephen Lawler fue el creador y explica en su blog cómo bajó el parche, le hizo un análisis binario diferencial automatizado (se puede usar la herramienta de eEye) con el fin de analizar su estructura interna y logró después de meterse un poco con las rutinas propias del lenguaje ensamblador crear un programa en C funcional. Vale la pena visitar su blog, explica con lujo de detalle lo que acabo de decir.

Los señores de Immunity comentan que es poco probable que un gusano masivo haga daño entrando por el perímetro ya que normalmente está bien protegido; sin embargo otra historia es si logra entrar a la red interna de las corporaciones. La debilidad severa que representa RPC, los gusanos de antaño, los rumores de la existencia del gusano hace semanas, la palabra "test" en el gusano Gimmiv y el código de explotación dan, en efecto, todos los elementos para crear un caldo de cultivo esperando sólo que alguien se anime a perfeccionar un gusano de propagación masiva.

Ya para acabar, Ed Skoudis (¿alguien compró su Hack-Counter-Hack al igual que yo?) del SANS nos explica: "This is big, guys... really big. Enterprise folks should get the patch, test it quickly to make sure it doesn't blow up your environment, and then push it to their production systems".