jueves, 12 de abril de 2012

Seguridad - kb2653956 y Vulnerabilidad con #WinVerifyTrust en #Windows8

Vulnerabilidad de validación de firma en WinVerifyTrust (CVE-2012-0151) - Hacer clic en la imagen o descarguela para apreciarla mejor.

Definicion

Primeramente que es eso de WinVerifyTrust?

La función de comprobación de firma Authenticode de Windows, o WinVerifyTrust, realiza una acción de comprobación de confianza en un objeto específico. La función pasa la consulta a un proveedor de confianza que admite el identificador de acción, si existe uno. La función WinVerifyTrust realiza dos acciones: comprobación de la firma en un objeto especificado y comprobación de confianza.

Authenticode es un formato de firma digital que se utiliza para determinar el origen y la integridad de los archivos binarios de software. Authenticode utiliza los datos firmados PKCS#7 (estándares de criptografía de clave pública) y certificados X.509 para enlazar un archivo binario firmado con Authenticode a la entidad de un editor de software. El término firma "Authenticode" hace referencia a un formato de firma digital que se genera y comprueba con la función de comprobación de firma Authenticode.

Esta funcion, unica en Windows, lo hace sumamente seguro contra archivos que pudieran ser dañinos al sistema, y lo protege de malware y virus.

Sin embargo, existe una vulnerabilidad. Esta es de ejecución remota de código en la función de comprobación de firma Authenticode de Windows que se utiliza para los formatos de archivo portable ejecutable (PE). Un atacante anónimo podría aprovechar la vulnerabilidad al modificar un archivo ejecutable firmado existente para aprovechar partes no comprobadas del archivo de modo que agregara código malintencionado al archivo sin invalidar la firma. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.


A que sistemas Afecta?

Tanto estaciones de trabajo como los servidores están expuestos a esta vulnerabilidad ya que esta funcion existe no solo en Windows 8, sino que siempore ha estado en las versiones de Windows siguientes:

  • Windows XP Service Pack 3
  • Windows XP Professional x64 Edition Service Pack 2
  • Windows Server 2003 Service Pack 2
  • Windows Server 2003 x64 Edition Service Pack 2
  • Windows Server 2003 con SP2 para sistemas con Itanium
  • Windows Vista Service Pack 2
  • Windows Vista x64 Edition Service Pack 2
  • Windows Server 2008 para sistemas de 32 bits Service Pack 2*
  • Windows Server 2008 para sistemas x64 Service Pack 2*
  • Windows Server 2008 para sistemas con Itanium Service Pack 2
  • Windows 7 para sistemas de 32 bits
  • Windows 7 para sistemas de 32 bits Service Pack 1
  • Windows 7 para sistemas x64
  • Windows 7 para sistemas x64 Service Pack 1
  • Windows Server 2008 R2 para sistemas x64*
  • Windows Server 2008 R2 para sistemas x64 Service Pack 1*
  • Windows Server 2008 R2 para sistemas con Itanium
  • Windows Server 2008 R2 para sistemas con Itanium Service Pack 1
* En las versiones donde vemos el asteristico significa que  la instalación de Server Core tambien está afectada.


Solucion

Para atender esto es que Microsoft ha lanzado la actualizacion kb2653956 este 9 de Abril 2012 documentado esto en el boletin MS12-024.

  •         Que hace?
La actualización de seguridad corrige la vulnerabilidad al modificar la manera en que la función de comprobación de firma Authenticode de Windows realiza la comprobación de firma Authenticode de Windows al comprobar archivos portables ejecutables. Una vez instalada, provoca que la función de comprobación de firma Authenticode de Windows realice una comprobación estricta de los archivos PE.

Los archivos PE se considerarán "sin firmar" si Windows puede identificar contenido que no cumple con la especificación Authenticode en el archivo. Esto puede afectar a algunos instaladores. Si usa un instalador que está afectado, Microsoft recomienda el uso de un instalador que solo extraiga el contenido de las partes validadas del archivo firmado.





  •        A que versiones aplica el update?

La actualización KB2653956 está disponible para la versión de Windows 8 Developer Preview y Consumer Preview. Se recomienda que los usuarios con Windows 8 con cualquier de los dos Preview apliquen la actualización a sus sistemas.


Hacer clic en la imagen o descarguela para apreciarla mejor.


Aunque vi esta actualizacion para Windows 8, la verdad es que esta actualización de seguridad se considera crítica para todas las versiones compatibles de Microsoft Windows.

Como la mayoria de los clientes tienen habilitada la actualización automática y no deben realizar ninguna acción porque esta actualización de seguridad se descargará e instalará automáticamente. Los clientes que no han habilitado la actualización automática deben buscar las actualizaciones e instalar esta actualización manualmente. A lo que se recomienda exhaustivamente tener habilitada esta opcion.

Para los sistemas de Windows Anteriores a 8, este update viene siendo una sustitucion del update KB978601 documentado en el boletin MS10-019 de Abril 2010.

Tras instalar esta actualización, es posible que deba reiniciar el sistema.

Detalles rápidos
Versión:
2653956
Fecha de publicación:
09/04/2012


Boletines de seguridad:
MS12-024

http://www.microsoft.com/technet/security/bulletin/MS12-024.mspx

Artículos de soporte
KB2653956

http://support.microsoft.com/?kbid=2653956


Fuente: Microsoft Safety & Security Center / ELTECNIQUITO Labs

0 comentarios:

My Tweets

Protegelas.com