¿Seguridad con Microsoft?
[15-11-01]
En menos de un mes Microsoft ha tenido que retirar en dos ocasiones sendos parches que debían solucionar problemas de seguridad. En su lugar las actualizaciones causaban errores a nivel de sistema y paradas en algunos servicios. Peor el remedio que la enfermedad.
El pasado 18 de octubre Microsoft retiraba un parche para Windows 2000 (MS01-052 Invalid RDP Data can Cause Terminal Service Failure) cuya instalación causaba errores en los sistemas. El 22 de octubre se publicaba una rectificación del parche. Steve Lipner, director de seguridad de Microsoft, reconoció públicamente los problemas que achacó a "confusiones" de índole administrativa, al mismo tiempo que anunciaba la puesta en marcha de nuevos procedimientos para impedir se volviera a repetir el caso y conseguir la confianza de los usuarios.
Dicho y hecho. El 1 de noviembre Microsoft publicaba un boletín donde se describía y facilitaba un parche destinado a corregir una vulnerabilidad en el servicio UPnP (Universal Plug and Play) que afecta a Windows 98, ME y XP. Los usuarios de Windows ME que instalaron el parche pasaron de la remota posibilidad de sufrir un ataque DoS a poder tener continuos problemas a nivel de sistema. Tras los primeros reportes Microsoft retiró el parche para Windows ME, a día de hoy siguen investigando el problema.
Peor lo llevan aquellos usuarios que hacen uso de las actualizaciones automáticas de Microsoft, "Windows Update", que suelen ser los "conejillos de India" donde se prueban los parches sin más
información. Bajo el título "October 25th, 2001 Critical Update" se incluyó el parche defectuoso del servicio UPnP.
En pleno debate sobre la "anarquía informativa", Microsoft deja patente que sus problemas con la seguridad, al menos en lo que a los parches defectuosos se refieren, poco tiene que ver con la presión que pueda ejercer la divulgación pública de las vulnerabilidades detectadas en sus productos.
El problema original en el servicio UPnP fue reportado en exclusiva a Microsoft el 15 de agosto por un investigador externo. Tuvo que esperar 12 días a que Microsoft le comunicara que estaban estudiando el caso. A principios de septiembre le confirmaron la existencia de la vulnerabilidad. Transcurridas 10 semanas del aviso, el 1 de noviembre, Microsoft hace pública la vulnerabilidad y facilita la "solución" con los problemas ya descritos.
Al término de esta nota he recibido un mensaje desde Chile donde "ZeroX" me comenta los problemas que ha encontrado en la herramienta "HFNetChk" de Microsoft destinada a detectar los parches que faltan en un sistema. En resumen, la falta de actualización de esta utilidad ocasiona informes erróneos que pueden causar una falsa sensación de seguridad. En lo que parece una clara contradicción a las tan difundidas "Nuevas Estrategias de Seguridad", "ZeroX" dejaba caer la siguiente pregunta: ¿Microsoft está realmente comprometida con la seguridad?
Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=1115
Más información:
¿Anarquía informativa?
http://www.hispasec.com/unaaldia.asp?id=1091
Microsoft Security Bulletin MS01-052
Invalid RDP Data can Cause Terminal Service Failure
http://www.microsoft.com/technet/security/bulletin/MS01-052.asp
Microsoft Security Bulletin MS01-054
Invalid Universal Plug and Play Request can Disrupt System Operation
http://www.microsoft.com/technet/security/bulletin/MS01-054.asp
Three Windows XP UPNP DOS attacks
http://www.securityfocus.com/archive/1/224295
Problems with MS01-052 - Microsoft responds
http://www.ntbugtraq.com/default.asp?pid=36&sid=1&A2=ind0111&L=ntbugtraq&F=P&S=&P=7939
Microsoft To Review Buggy Patch Procedures
http://www.newsbytes.com/news/01/172041.html
Bernardo Quintero
bernardo@hispasec.com
Artículos de actualidad ...
Archivo de artículos ...
|
