LA CRITICIDAD DE LO IMPORTANTE
********************Índice
Parte 1
Parte 2
Parte 3
Parte 4
Parte 5
Parte 6
********************
Nos quedamos en el post anterior preguntándonos sobre qué significa "Crítica" e "Importante". Otro documento de Microsoft nos lo aclara (http://technet.microsoft.com/es-es/security/bulletin/rating):
------------------
* Crítica: Vulnerabilidad que puede permitir la propagación de un gusano de Internet sin la acción del usuario.
* Importante: Vulnerabilidad que puede poner en peligro la confidencialidad, integridad o disponibilidad de los datos de los usuarios, o bien, la integridad o disponibilidad de los recursos de procesamiento.
* Moderada: El abuso podría reducirse en gran medida mediante factores como una configuración predeterminada, auditoría o dificultad de abuso.
* Baja: Vulnerabilidad muy difícil de aprovechar o cuyo impacto es mínimo.
------------------
Y aquí me planteo dos problemas.
El primero es que estas caracterizaciones las hace el MSRC. En este centro hay muy buenos profesionales pero, aún así, sus decisiones parten desde una perspectiva particular, propia. Y cada organización, a veces cada persona, es un mundo. Pensemos por ejemplo en una que permita una "denegación de servicio" de sus servidores web. Esa vulnerabilidad puede ser crítica, muy crítica, para una organización que base su modelo de negocio en la venta a través de Internet. Pero para una empresa que sólo utilice su presencia en la Red de Redes para hacerse publicidad el impacto sería, quizá, sólo moderado.
Y el segundo es que las vulnerabilidades no viven solas. Un mismo equipo puede tener(y de hecho casi seguro que tiene) un buen número de vulnerabilidades, muchas de ellas aún por detectar. ¿Qué puede ocurrir si se combinan dos o más en un ataque?
Veamos un ejemplo.
El boletín de seguridad MS13-053 (http://technet.microsoft.com/es-es/security/bulletin/ms13-053) describe una vulnerabilidad CRITICA de los controladores en modo kernel de Windows em los siguientes términos:
------------------
La vulnerabilidad más grave podría permitir la ejecución remota de código si un usuario consulta contenido compartido que inserta archivos de fuente TrueType. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado.
------------------
O sea, que alguien pueda ejecutar código en tu máquina y controlarla completamente de forma remota es crítico. En eso podemos estar de acuerdo.
Y vayan a continuación un par de ejemplos de vulnerabilidades que sólo son IMPORTANTES.
La primera está explicada en MS12-048 (http://technet.microsoft.com/es-es/security/bulletin/ms12-048):
------------------
La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo o un directorio con un nombre especialmente diseñado. Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual.
------------------
Esta vulnerabilidad nos da una medida. El atacante puede ejecutar código, igual que antes, pero en este caso sólo conseguirá tener los permisos del usuario al que consiga comprometer. Eso es menos grave que si se consigue un control total del sistema, como en el caso anterior,... excepto si el usuario tiene permisos y privilegios que le otorgan un control total del sistema, claro.
Pero además, es que existen las vulnerabilidades de "escalada de privilegios". Como la descrita en MS13-063 (http://technet.microsoft.com/es-es/security/bulletin/ms13-063), que también está etiquetada como "IMPORTANTE".
O sea, que si un equipo tiene estas dos vulnerabilidades "importantes", quizá un atacante se las ingenie para aprovechar la primera para ejecutar código y la otra para conseguir elevar sus privilegios y ejecutar código con una cuenta más "poderosa". Una con permisos y privilegios que le otorguen un control total, o casi total, sobre la máquina.
Resumiendo: dos vulnerabilidades "importantes" combinadas pueden llegar a tener el mismo impacto que una "crítica". Y combinar vulnerabilidades es algo común en estos negocios...
(continuará...)
No hay comentarios:
Publicar un comentario