Vulnerabilidad muy crítica en todas las versiones de Windows

¡Urgente! Se ha detectado una vulnerabilidad muy crítica en todas las versiones de Windows desde 1993, un “0-day” en toda regla, que permite escalar privilegios y ejecutar código con permisos de sistema, equivalentes a efectos prácticos a los de administrador.

Por ahora no existe parche, y el exploit es fácilmente aprovechable por cualquiera. La causa es un fallo de diseño que persiste en todas las versiones de Windows de 32 bits desde 1993, por lo que afecta a Windows 2000, 2003, 2008, XP, Vista y 7.

El fallo se encuentra en el soporte “legacy” que permite ejecutar aplicaciones de 16 bits. Resulta que el sistema no valida correctamente el cambio de contexto y pila que se efectúa al al llamar al manejador #GP trap. Windows comete varios fallos, toma como ciertas varias suposiciones que son incorrectas, y el resultado es una puerta abierta al sistema con alfombra roja y luces de neón.

Con un código que va en contra de dichas suposiciones, un usuario malicioso puede realizar un cambio de contexto y ejecutar código con derechos de Sistema, que están por encima incluso del de los administradores.

Tavis Ormandy, el investigador que detectó el fallo, notificó a Microsoft en junio de 2009 de este problema, y al poco le confirmaron que estaba en lo cierto. En todo este tiempo, no se ha publicado parche al respecto, lo que ha motivado a Ormandy el hacer pública la vulnerabilidad para forzar a que desde Redmond se pongan las pilas.

Los principales afectados son aquellas empresas que mantienen los sistemas de sus empleados con privilegios limitados. Para usuarios domésticos, que habitualmente usan cuentas de administrador, la cosa no afecta demasiado, porque escalar privilegios no es necesario para poner en riesgo el sistema.

Aunque no hay parche, existe una sencilla vía de evitar la vulnerabilidad. Tan sólo hay que deshabilitar el soporte para aplicaciones de 16 bits, que en la mayor parte de los casos no supondrá problema alguno. Para ello, hay que habilitar “Impedir el acceso a aplicaciones de 16 bits” en la Consola de Políticas (gpedit.msc), dentro de “Configuración de equipo – Plantillas administrativas – Componentes de Windows – Compatibilidad de aplicación”. Hay que forzar una actualización de las políticas en los sistemas que dependan del controlador de dominio para que se aplique el cambio.

FUENTE
 

Dak

Lanero Reconocido
Se unió
30 Nov 2003
Mensajes
3,308
Acabo de probar en Windows 7 x86 con 0 parches (pues aca en la empresa se daño el WSUS), probe dos veces con UAC activado y con UAC desactivado.

El resultado fue el mismo: NO SIRVIO

Tal como lo ha comentado ms el sistema ante un ataque que no pueda evadir fuerza un BSOD para proteger los datos y la integridad, alguien con problemas en Windows 7 o Windows Server 2008 R2?


Pues a mi el resultado me dio muy diferente:

Windows 7 Enterprise x86 actualizaciones hasta hoy 2010/01/22

 

JuanKRuiz

Lanero Reconocido
Se unió
28 Dic 2007
Mensajes
2,402
Algo que ver con el procesador (Atom 270)?

en esta prueba no hay antivirus.

si dado el tipo de ataque... puede ser el procesador pues realmente lo que hace de fondo es pasarse a instrucciones privilegiadas en el procesador :S

el mio es un Intel Core2 6300
 

E_Blue

Lanero Reconocido
Se unió
26 Sep 2006
Mensajes
1,086
si dado el tipo de ataque... puede ser el procesador pues realmente lo que hace de fondo es pasarse a instrucciones privilegiadas en el procesador :S

el mio es un Intel Core2 6300

¿Las instrucciones privilegiadas no se supone que estan bloqueadas por defecto en Windows?

Por otro lado hace bastante tiempo atras AMD habia desarrollado una tecnología antivirus basada en esas instrucciones para detectar si el programa era un virus o no.
No se si Intel habrá desarrollado algo asi y si la tecnología de AMD habrá salido en los nuevos chips.:\
 

JuanKRuiz

Lanero Reconocido
Se unió
28 Dic 2007
Mensajes
2,402
¿Las instrucciones privilegiadas no se supone que estan bloqueadas por defecto en Windows?

Por otro lado hace bastante tiempo atras AMD habia desarrollado una tecnología antivirus basada en esas instrucciones para detectar si el programa era un virus o no.
No se si Intel habrá desarrollado algo asi y si la tecnología de AMD habrá salido en los nuevos chips.:\

bloqueadas...
bueno mas bien estan restringidas y solo las puede utilizar el propio sistema operativo y dmas componentes ejecutandose en la sesion 0, divers, servicios, etc, pero en algunas ocasiones ( como lo hacia blue pill ) fallos de hardware terminan concediendo privilegios para ejecutar esas instrucciones a otros procesos.

Esta vulnerabilidad de la que se habla en este hilo lo que hace, y segun entiendo, es que cuando el sistema se pasa a ejecutar un programa de 16 bits, el command prompt se comienza a ejecutar en el modo virtual del 8086 es decir el procesador atiende de un modo diferente dichas solicitudes...

y es alli donde windows comete un descuido y abre una brecha para obtener acceso a la sesion 0 y lanzar dede alli el programa (la consola) la cual al tener los privilegios de la sesion 0 se ejecuta con máximos privilegios.
 

DEUS5

Lanero Reconocido
Se unió
9 Nov 2008
Mensajes
318
Eso será como siempre sólo relevante a nivel empresarial. A un usuario hogareño posiblemente hubiera podido hacerle algo malo, pero xD, dejémonos de cosas que un usuario común por lo general nunca instala o ejecuta algo (la gran mayoría de las personas que tienen windows no tocan el S.O. para modificar algo: bien sea instalar, desisntalar e inclusive hacer un simple scan antivirus).
 

ANDRESOTE_8

Tigre VIP.
Se unió
18 Ene 2009
Mensajes
7,841
Acabo de ejecutar el "exploit" en 4 máquinas diferentes, las cuales son las siguientes:

PC de escritorio HP (se lo presté a mi prima para los trabajos del colegio):
- Procesador intel Pentium 4 HT (no trae DEP por hardware)
- RAM de 2 GB tipo DDR2 de 533 MHz
- Disco duro de 80 GB Maxtor de 7200 RPM
- Sistema operativo Windows 7 Business de 32 bits

PC de escritorio Dell Vostro 220 (modificado):
- Procesador Intel Core i7 975 (tiene DEP por hardware)
- RAM de 16 GB DDR3 de 1600 MHz
- Unidad SSD OCZ de 256 GB
- Tarjeta de video Nvidia GeForce GTX 295
- Sistema operativo Windows 7 Business de 64 bits

Portátil Dell inspiron 1520 (el de mi futura novia :p):
- Procesador intel Celeron de 2 GHz (no sé si trae DEP por hardware, no me fijé)
- RAM de 2 GB tipo DDR2 de 667 MHz
- Disco duro SATA de 160 GB a 5400 RPM
- Sistema operativo Windows Vista Home Premium 32 bits

Portátil MacBook Pro Unibody de aluminio de 13":
- Procesador intel Core 2 Duo P7550 (tiene DEP por hardware)
- RAM 4 GB tipo DDR3 de 1066 MHz
- Disco duro Toshiba SATA de 500 GB a 5400 RPM
- Sistema operativo secundario Windows Vista Business 32 bits (el primario es Mac OS X Snow Leopard :) )


El "exploit" sólo se ejecutó en el primer equipo, en los demás no. ¿Alguien sabe por qué puede ser?
 

JuanKRuiz

Lanero Reconocido
Se unió
28 Dic 2007
Mensajes
2,402
Acabo de ejecutar el "exploit" en 4 máquinas diferentes, las cuales son las siguientes:

PC de escritorio HP (se lo presté a mi prima para los trabajos del colegio):
- Procesador intel Pentium 4 HT (no trae DEP por hardware)
- RAM de 2 GB tipo DDR2 de 533 MHz
- Disco duro de 80 GB Maxtor de 7200 RPM
- Sistema operativo Windows 7 Business de 32 bits

PC de escritorio Dell Vostro 220 (modificado):
- Procesador Intel Core i7 975 (tiene DEP por hardware)
- RAM de 16 GB DDR3 de 1600 MHz
- Unidad SSD OCZ de 256 GB
- Tarjeta de video Nvidia GeForce GTX 295
- Sistema operativo Windows 7 Business de 64 bits

Portátil Dell inspiron 1520 (el de mi futura novia :p):
- Procesador intel Celeron de 2 GHz (no sé si trae DEP por hardware, no me fijé)
- RAM de 2 GB tipo DDR2 de 667 MHz
- Disco duro SATA de 160 GB a 5400 RPM
- Sistema operativo Windows Vista Home Premium 32 bits

Portátil MacBook Pro Unibody de aluminio de 13":
- Procesador intel Core 2 Duo P7550 (tiene DEP por hardware)
- RAM 4 GB tipo DDR3 de 1066 MHz
- Disco duro Toshiba SATA de 500 GB a 5400 RPM
- Sistema operativo secundario Windows Vista Business 32 bits (el primario es Mac OS X Snow Leopard :) )


El "exploit" sólo se ejecutó en el primer equipo, en los demás no. ¿Alguien sabe por qué puede ser?



Sospechamos que puede ser por el procesador ... pero niidea....

otra opcion es que no sea una version afectada, mira mi siguiente post.
 

JuanKRuiz

Lanero Reconocido
Se unió
28 Dic 2007
Mensajes
2,402
Tomado de :
http://www.microsoft.com/technet/security/advisory/979682.mspx

Affected and Non-Affected Software
This advisory discusses the following software.

Affected Software

Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 and Windows XP Service Pack 3
Windows Server 2003 Service Pack 2
Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2*
Windows 7 for 32-bit Systems

Non-Affected Software

Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems
Windows Server 2008 R2 for Itanium-based Systems

----------------------------

Link para corregir el problema de la vulnerabilidad en su PC de escritorio o servidor (supongo que toca desde IE):

http://support.microsoft.com/kb/979682

Le dan click en Fix IT.

---
Dentro de poco, (proxima semana?)

parche out of band para esto.


-----
Security Advisory 979682 Released

Posted Wednesday, January 20, 2010 4:48 PM by MSRCTEAM

Today we released Security Advisory 979682 to address an Elevation of Privilege (EoP) vulnerability in the Windows kernel, affecting all currently supported versions of 32-bit Windows. 64-bit versions of Windows, including Windows Server 2008 R2, are not affected. The advisory provides customers with actionable guidance to help with protections against exploit of this vulnerability.
To exploit this vulnerability, an attacker must already have valid logon credentials and be able to log on to a system locally, meaning they must already have an account on the system. An attacker could then elevate their privileges to the administrative level and run programs of their choice on the system.
To help mitigate exploit of this vulnerability, customers who do not require NT Virtual DOS Mode (NTVDM) or support for 16-bit applications, can disable the NTVDM subsystem. Information on this workaround can be found in the Advisory.
We are not currently aware of any active attacks against this vulnerability and believe risk to customers, at this time, is limited. We continue to recommend customers review the mitigations and workarounds detailed in the Security Advisory.
We are also working with our Microsoft Active Protections Program (MAPP) partners to help provide broader protections for customers.
Our teams are continuing to work on an update and we will take appropriate action to protect customers when the update has met the quality bar for broad distribution. That may include releasing the update out-of-band.
The Security Advisory will be updated with any new developments so if you are not already subscribed to our comprehensive alerts, please do so in order to be alerted by email when new information is added.
We will also keep customers apprised of any additional details and updates through the MSRC Blog.
Thanks,
Jerry Bryant
*This posting is provided "AS IS" with no warranties, and confers no rights.*


 

ANDRESOTE_8

Tigre VIP.
Se unió
18 Ene 2009
Mensajes
7,841
Sospechamos que puede ser por el procesador ... pero niidea....
otra opcion es que no sea una version afectada, mira mi siguiente post.
Parece ser que el DEP por hardware impide o dificulta la ejecución del "exploit".


Tomado de :
http://www.microsoft.com/technet/security/advisory/979682.mspx

Affected Software
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 and Windows XP Service Pack 3
Windows Server 2003 Service Pack 2
Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2*
Windows 7 for 32-bit Systems

Non-Affected Software
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems
Windows Server 2008 R2 for Itanium-based Systems
[/FONT]
[/FONT][/LEFT][/FONT][/COLOR]

Sólo mi PC con Core i7 no tiene Windows de 32 bits sino de 64 bits.
De los otros 3 equipos donde hice la prueba, se ejecutó en el único que estoy seguro de que no tiene DEP por hardware.
A propósito, gracias por el dato.
 

DEUS5

Lanero Reconocido
Se unió
9 Nov 2008
Mensajes
318
yo, por molestar lo hice en un portátil: AMD 64X2 QL 2.15, RAM 2GB, DDR 250GB, WINDOWS VISTA HP de 32bits y no pasó nada de nada. Pero claro, sólo lo hice de puro ocio.
 

Andresv87

Lanero Reconocido
Se unió
12 Jul 2006
Mensajes
78
Que tema mas mal redactado empezo por los pies y termino en la cabeza...

En fin la noticia esta buena aunque como muchos ya tenemos sistemas de 64 bits asi que no nos preocupamos y para que se pueda aprovechar la vulnerabilidad un usuario tiene que sentarse en nuestra maquina.
 

E_Blue

Lanero Reconocido
Se unió
26 Sep 2006
Mensajes
1,086
Que tema mas mal redactado empezo por los pies y termino en la cabeza...

En fin la noticia esta buena aunque como muchos ya tenemos sistemas de 64 bits asi que no nos preocupamos y para que se pueda aprovechar la vulnerabilidad un usuario tiene que sentarse en nuestra maquina.

No se crea, yo todavia sigo firme con mi Windows 98SE.:cool:

No se adonde vive usted pero en mi pais al menos, si bien los CPUs son de 64Bits, los SO siguen corriendo a 32Bits.
Tenga en cuenta que salvo que sea doña Rosa que solo usa el navegador Web y ve algun documento en Word en un ambiente profesional todavia no hay soporte en 64Bits para los programas que se usan, o por lo menos aca no han llegado. :\
 

Lord_Alfonso

Lanero Reconocido
Se unió
20 Jul 2005
Mensajes
2,236
A partir de este momento se inicia la batalla de los fanáticos de los OS.:cansado:

Todos los softwares tienen algún agujero, es la magia del soft.:p

Si ahora se vienen los n00bs...algo muy raro es que la version compilada del exploit no me quiere funcionar en ninguna de mis maquinas virtuales 32 bits...la verdad el cpu influye bastante por el juego de instrucciones...
 
Arriba