Ayer, Rubén Santarmarta, investigador español de seguridad, sacó a la luz pública una vulnerabilidad que permite ejecutar código arbitrario en todas las versiones de Windows a partir de una vulnerabilidad en Apple Quicktime Player que lleva 9 años escondida y que ha dado la vuelta al mundo.
La vulnerabilidad se debe a un parámetro olvidado, llamado "_Marshaled_pUnk", en el visor de QuickTime que se utilizaba para cargar elementos dentro de la ventana. Esta funcionalidad se eliminó, pero como dice el propio Rubén Santamarta en la publicación de su exploit, parece que alguien se olvido de limpiarlo.
Para explotar la vulnerabilidad, Rubén utilizó una técnica llamada ROP (Return Oriented Programing) por la que, mediante la carga de la librería WindowsLiveLogin.dll, presente en todos los equipos en los que está instalado Windows Live Messenger, pudo reorganizar el código para generar un exploit funcional en Internet Explorer 8 y Windows 7.
Como mitigar el impacto
Actualmente no hay parche oficial, y es posible que el número de exploits que utilicen este vector de ataque se dispare, por lo que se recomienda controlar el uso del visor de QuickTime en Internet. Para ello, se puede utilizar la funcionalidad que ofrece Internet Explorer para elegir qué usuarios y qué dominios pueden cargar un determinado componente en Internet Explorer 8.
En el blog Windows Técnico hay un interesante artículo que explica como configurar los componentes de Internet Explorer 8 de esta forma.
Además, desde que Internet Explorer 8 está integrado completamente en las políticas de Active Directory, se recomienda gestionar la carga de componentes en el navegador de forma centralizada mediante una política corporativa.
La vulnerabilidad se debe a un parámetro olvidado, llamado "_Marshaled_pUnk", en el visor de QuickTime que se utilizaba para cargar elementos dentro de la ventana. Esta funcionalidad se eliminó, pero como dice el propio Rubén Santamarta en la publicación de su exploit, parece que alguien se olvido de limpiarlo.
Para explotar la vulnerabilidad, Rubén utilizó una técnica llamada ROP (Return Oriented Programing) por la que, mediante la carga de la librería WindowsLiveLogin.dll, presente en todos los equipos en los que está instalado Windows Live Messenger, pudo reorganizar el código para generar un exploit funcional en Internet Explorer 8 y Windows 7.
Como mitigar el impacto
Actualmente no hay parche oficial, y es posible que el número de exploits que utilicen este vector de ataque se dispare, por lo que se recomienda controlar el uso del visor de QuickTime en Internet. Para ello, se puede utilizar la funcionalidad que ofrece Internet Explorer para elegir qué usuarios y qué dominios pueden cargar un determinado componente en Internet Explorer 8.
En el blog Windows Técnico hay un interesante artículo que explica como configurar los componentes de Internet Explorer 8 de esta forma.
Además, desde que Internet Explorer 8 está integrado completamente en las políticas de Active Directory, se recomienda gestionar la carga de componentes en el navegador de forma centralizada mediante una política corporativa.