Usuarios de Windows 2000 alertas ante posible ataque
Por Angela Ruiz

Investigadores de seguridad, han hecho público al menos tres piezas de código capaces de explotar vulnerabilidades recientemente parchadas en Microsoft Windows. Sin embargo, ninguno de los códigos puede considerarse por el momento una amenaza que pueda ser utilizada exitosamente para la propagación de algún nuevo gusano, dicen algunos expertos.

La vulnerabilidad en el Coordinador de transacciones distribuidas de Microsoft (MSDTC por las siglas en inglés de Microsoft Distributed Transaction Coordinator, un componente que coordina las transacciones entre servidores), es muy similar al fallo que permitió que el gusano Zotob se propagara rápidamente a través de las redes.

También afecta a Windows 2000, y puede ser explotada de forma remota. El parche MS05-051 publicado este mes (octubre de 2005) por Microsoft, corrige el problema, pero muchos administradores de redes no actualizan sus sistemas de forma inmediata.

Un día después de la publicación del parche, estaba disponible un exploit para los clientes de Canvas, una herramienta de Immunity Security utilizada para pruebas de vulnerabilidades.

Este exploit no es totalmente operativo, pero si alguien ya logró hacer algo que funcione, no debe ser cuestión de mucho tiempo que otros lleguen a crear un código que sí pueda ser utilizado por un nuevo gusano.

"La vulnerabilidad en si misma, es bastante idéntica a la que utilizó el Zotob", dijo Marc Maiffret de eEye Digital Security, la compañía que notificó a Microsoft del fallo. "Hay suficiente código allí afuera, como para que alguien pueda llegar a resolver fácilmente como explotarlo".

En agosto de 2005, solo cinco días después que Microsoft liberara el parche para el agujero en Windows relacionado con una vulnerabilidad en los componentes Plug and Play, el gusano Zotob utilizó ese fallo para propagarse a través de Internet. En abril de 2004, el gusano Sasser se propagó masivamente, aún cuando tres semanas antes Microsoft ya había liberado el parche correspondiente para la vulnerabilidad LSASS.

"Actualmente, los exploits detectados solo parecen estar disponibles a través de investigadores de seguridad privados", comentó Stephen Toulouse, del Microsoft's Security Response Center. La compañía dice no estar enterada de que haya ocurrido alguna clase de ataque aún, pero urge a sus clientes a que apliquen lo antes posible el parche anunciado en el boletín de seguridad MS05-051.

De todos modos, otros expertos indican que para explotar el problema, el atacante debe "adivinar" una dirección específica en la memoria para aprovecharse del fallo. "Es fácil crear algo, pero ¿cuán fácil es crear algo que funcione bien?, esa es la pregunta," dijo David Aitel de Immunity Security. "Los creadores de gusanos tienden a utilizar exploits seguros y sencillos. En el caso del Zotob, era realmente fácil crear un buen exploit."

Por otra parte, en el caso de esta vulnerabilidad, uno de los problemas que pueden hacer más difícil de controlar cualquier tipo de ataque, es que el fallo afecta a un puerto no estándar, típicamente no bloqueado por los proveedores de servicios de Internet.

Existen todavía millones de computadoras con Windows 2000, y de acuerdo a la velocidad conque llegue a aparecer un gusano, es de suponer que un número significativo de equipos que no hayan sido actualizados, puedan ser atacados exitosamente.

(c) Video Soft
(c) VSAntivirus