Nueva vulnerabilidad 0-day en el Kernel de Windows afecta a Windows XP y Server 2003

Por experiencias anteriores ya deberíamos estar avisados de que cuando Microsoft lanza un boletín de seguridad fuera de su ciclo habitual el segundo martes de cada mes es que algo grave está sucediendo. Así lo comentan nuestros compañeros de Hispasec y así lo podemos comprobar si repasamos el boletín de Microsoft en el que se alerta de una vulnerabilidad en uno de los componentes del kernel de los veteranos Windows XP y Windows Server 2003.

Si se ha decidido a lanzar un aviso fuera del ciclo de actualizaciones es porque esta vulnerabilidad está siendo aprovechada activamente por atacantes. Por suerte, el alcance de esta vulnerabilidad es limitado y tan solo se verían afectados sistemas operativos Windows XP y Windows server 2003. No obstante, aún son muchos los usuarios que utilizan estos antiguos sistemas operativos de Microsoft a pesar de que la empresa ya anunciado el abandono del soporte para estos sistemas en un futuro cercano (8 de abril de 2014 para Windows XP y 14 de Julio de 2015 en el caso de Windows Server 2003).

Microsoft_patch_tuesday

Aparentemente esta vulnerabilidad reside en el componente NDProxy.sys, el cual falla al comprobar las entradas de la forma adecuada. De esta forma, si un atacante consiguiera aprovecharse de esta vulnerabilidad (y estuviera registrado en el sistema) podría ejecutar código arbitrario en el modo kernel de Windows. Esto le permitiría realizar una variedad de acciones que van desde la modificación o eliminación de datos hasta la instalación de programas o creación de nuevas cuentas con permisos de administrador.

Para tratar de mitigar los efectos de esta vulnerabilidad, Microsoft ha puesto a disposición de los usuarios una solución temporal que, si bien no soluciona el fallo por completo si que bloquea los vectores de ataque conocidos hasta el momento.

Para poder aplicar esta contramedida, se han de introducir los siguientes comandos desde una consola con permisos de administrador y, seguidamente, reiniciar el sistema:

sc stop ndproxy
reg add HKLM\System\CurrentControlSet\Services\ndproxy /v ImagePath /t REG_EXPAND_SZ /d system32\drivers\null.sys /f

No obstante, hay una efecto secundario y es que, aquellos servicios basados en Windows TAPI (Telephony Application Programming Interfaces) dejarían de funcionar, servicios que incluyen VPN (Red Privada Virtual), RAS (Servicio de Acceso Remoto) o la conexión de acceso telefónico. De los administradores de estos sistemas depende decidir si aplicar esta solución temporal o no. Sí bien la mayoría de usuarios domésticos no los echarán en falta es posible que en entornos corporativos estos servicios resulten esenciales.

 Josep Albors

10 consejos para comprar en el Cyber Monday de forma segura