• Tweet

El pasado mes Microsoft de manera discreta parchó tres vulnerabilidades, dos de las cuales afectaban al software Exchange mail server, sin anunciar estos errores en sus avisos, dijo hoy un experto de seguridad.

Dos de las tres vulnerabilidades no anunciadas, y la más grave del trío, fueron empaquetadas con el MS10-024, una actualización de Exchange y Windows SMTP Service que Microsoft emitió el pasado 13 de Abril y la señaló como “importante”.

De acuerdo a Ivan Are, el director de tecnologías de Core Security Technologies, Microsoft parchó los errores, pero falló al no dar a conocerlos.

“Son más importantes que las dos vulnerabilidades que Microsoft dio a conocer”, mencionó Arce. “Eso significa que los administradores de los sistemas pueden acabar tomando decisiones equivocadas acerca de como aplicar las actualizaciones”. Necesitan esa información para evaluar el riesgo”.

El investigador Nicolas Economou de Core Labs descubrió los dos errores encubiertos mientras revisaba la actualización, parte de su trabajo como escritor de exploit para Core, quién es mejor conocido por su sistema Core de pruebas de penetración, un sistema para probar computadoras y redes contra vulnerabilidades atacandolas con explotaciones reales.

“Un atacante puede aprovechar las dos vulnerabilidades reparadas en le MS10-024 para lanzar respuestas a cualquier consulta del DNS enviada por el servicio de Windows SMTP”, mencionó Core en sus avisos del descubrimiento de Economus.”

"Las respuestas del DNS y los ataques de cache poisoning son bien conocidos por tener una variedad de implicacioens para la seguridad con un impacto que va más allá de la Denegación de Servicio y la divulgación de información como fue definido en el MS10-024".

El cache poisoning es una táctica de ataque -que se remonta a casi dos décadas-, pero es probablemente mejor conocido por la vulnerabilidad crítica en el software de los Sistemas de Nombres de Dominio (DNS) encontrado por Dan Kaminsky en 2008.

Los parches secretos no son ni nuevos ni raros. "Esto ha estado sucediendo durante muchos años y la acción en sí misma no es una conspiración enorme", dijó Andrew Storms, director de operaciones de seguridad de nCircle Security.

Lo que es inusual es que Core tomó las actualizaciones de Microsoft en silencio.

Diciendo que Microsoft "tergiversó" y "subestimo" el carácter crítico de MS10-024, debido a que no reveló los dos errores, Core instó a los administradores de la compañía a "considerar la reevaluación de las prioridades de las implementaciones de los parches."

Core encontró un tercer error no declarado el 13 de Abril en otra actualización, MS10-028. Este parche se centró en dos errores de Microsoft Visio, el proyecto de la compañía de software de diagramación.

Microsoft reconoció que había reparado errores sin avisar a los clientes, pero defendió la práctica.

"Cuando una vulnerabilidad de seguridad es descubierta, Microsoft lleva a cabo una investigación a fondo sobre ésta, las direcciones o cualquier otra cuestión que se encuentra en el código como resultado de dicha investigación y las actualizaciones de seguridad son sujetos a extensas pruebas para asegurar la calidad", mencionó Jerry Bryant, director del programa de seguridad, en un correo electrónico. "Esto ayuda a reducir el número de actualizaciones que implementar, ya que éstas pueden ser perjudiciales en el entorno de los clientes."

Si se descubre una falla interna que requiere una acción por separado o guía que no estén cubiertas en por otras vulnerabilidades en el boletín, "nosotros definitivamente lo documentamos y tratamos a esa vulnerabilidad por separado", dijo Bryant.

La verdad es que este negocio es como de costumbre, no sólo para Microsoft, sino que para los desarrolladores del software, dijo Storms. "Los vendedores que comúnmente encuentran fallos en el código liberado distribuyen las reparaciones dentro de un conjunto de parches", anotó. "Muchas veces simplemente no hay ningún beneficio para nadie el revelar el error."De hecho, la política de Microsoft es la de no asignar CVEs - los identificadores de errores registrados en la base de datos de Common Vulnerabilities Comunes and Exposures - a los errores encontrados por sus propios investigadores, dijo Storms. "No hay necesidad de un proveedor para solicitar un CVE para errores internos", dijo.

Sin embargo Stroms también hizo eco de la preocupación de Arce sobre el posible mal uso en la práctica, lo que podría dar lugar a una falsa sensación de seguridad entre los usuarios. "¿La pregunta aquí es si el vendedor tergiversa el riesgo, lo que crea una falsa sensación de letargo con respecto a la prioridad de distribución de parches", dijo. "Por ejemplo, si un parche en IE8 calificado como "moderado" por Microsoft y en realidad también contenía un error crítico, ¿la calificación obtenida pondría en riesgo a lo clientes porque pueden sentir que podría retrasar la distribución de parches, con la idea de que no hubiera un parche crítico oculto-"

Arce sostuvo que eso era exactamente lo que hizo Microsoft en el caso de MS10-024. "Se reparo una vulnerabilidad muy similar en el MS08-037 de hace dos años”, dijo, hablando acerca del parche crítico del 2008 para la vulnerabilidad DNS Kaminsky . "Si no fuera una vulnerabilidad , ¿por qué emitir un boletín de vulnerabilidad-" preguntó Arce. "No hay forma razonable para que digan que esto no es un problema de seguridad".

"No hay una respuesta fácil para el vendedor o para el cliente", dijo Storms. "Si el vendedor distribuyó un parche crítico, pero con poca información, como Adobe por ejemplo, todos estaríamos pidiendo al vendedor para más información.

Por otra parte, dada la carga de trabajo en los equipos de seguridad de la empresa, necesitamos confiar en la clasificación del vendedor para ayudar a determinar la prioridad".