Fallo de seguridad en librerías DLL, afecta a múltiples aplicaciones para Windows

Publicado hace 7 años por en Noticias Seguridad Seguridad Informática

Recientemente se ha puesto de manifiesto un grave fallo de seguridad en la carga dinámica de librerías (DLL) que afecta a múltiples aplicaciones para Windows y que pueden permitir a un atacante la ejecución de código malicioso y comprometer un sistema.

Esta vulnerabilidad fue descubierta por el investigador de seguridad HD Moor, precisamente cuando se encontraba investigando la ya reportada vulnerabilidad LNK. Microsof publicó un aviso de seguridad, donde explica los detalles de este fallo.

Tal y como lo explican en el centro de insidentes de seguridad de INTECO, este fallo de seguridad se produce cuando un tipo de archivo vulnerable es abierto desde dentro de un directorio controlado por el atacante. Este directorio puede ser una unidad USB, un recurso compartido en red o WebDAV. En la mayoría de los casos, el usuario tendrá que ir al directorio y después abrir dicho archivo. El fallo reside en la aplicación encargada de gestionar dicho fichero que cargará una DLL desde el directorio de trabajo.

Una librería es un trozo de código que permite a los desarrolladores utilizarlo en sus programas bajo demanda. Si se necesita implementar una función que ya está definida y desarrollada en una librería, el programador únicamente tendrá que llamar a esa librería y de esta forma se ahorra el desarrollo de la misma. Cuando una aplicación carga dinámicamente una librería de enlace dinámico (DLL) sin especificar la ruta de acceso completa donde se encuentra la misma, Windows intenta localizar dicha DLL en una serie de directorios predefinidos. Si un atacante obtiene el control de uno de los directorios, pueden obligar a la aplicación a cargar una copia maliciosa de la misma en lugar de la DLL legítima que la aplicación esperaba.

Esta vulnerabilidad, por tanto, puede ser explotada mediante el envío al usuario de un enlace a un recurso compartido, por ejemplo, \\servidor\peliculas\ junto con un conjunto de ficheros que se vean afectados por esta vulnerabilidad. El usuario intentará abrir cualquiera de esos ficheros, por ejemplo un fichero multimedia, y el programa encargado de reproducirlo cargará uno o mas ficheros DLL que contendrán el código malicioso. iTunes se vio afectado por este fallo de seguridad la semana pasada pero se ha descubierto que la mayoría de las aplicaciones para Windows tienen esta vulnerabilidad también.

La lista de aplicaciones vulnerables a este fallo de seguridad continua en aumento y hasta el momento se han reportando alrededor de más de 30 aplicaciones afectadas.

Gran parte de las aplicaciones conocidas y que se están viendo comprometidas por el fallo, pertenecen a Microsoft, tal es el caso de Microsoft PowerPoint 2010 y Microsoft Live Email.

Puede consultar el listado actualizado de las aplicaciones vulnerables en el sitio web de Secunia. También recomendamos consultar la base de datos de aplicaciones afectadas de Corelan.be un sitio de seguridad belga, que enlista a 33 aplicaciones, incluyendo PowerPoint, Windows Vista, Google Chrome y Mozilla Firefox. El sitio también menciona a Opera, Microsoft Word, Adobe Dreamweaver y Photoshop y docenas de otras aplicaciones. Vupen Security también mantiene una lista de aplicaciones vulnerables.

Microsoft ha publicado una solución temporal para deshabilitar la carga de librerías de WebDAV y recursos compartidos remotos hasta que sea liberado un parche de seguridad que ayude a solucionar y bloquear parte de los ataques conocidos hasta el momento.

Desde LIA Solutions, aconsejamos a los usuarios aplicar las actualizaciones del sistema operativo Windows y las aplicaciones que se tengan instaladas, siendo recomendable el uso de un antivirus con capacidades de detección proactiva para detectar cualquier amenaza que busque aprovecharse de estas y otras vulnerabilidades.

Más información:


 

Dejar un comentario