(Por El Microsaurio) Bienvenidos al pronóstico meteorológico de hoy: Nublado, con probabilidad de copiosa lluvia de ataques por la noche, desmejorando en el fin de semana, que es cuando los hackers se ponen las pilas y salen a reventar sistemas administrados por gente descuidada.
Ahora, a ponernos serios. La entrega de julio de los Boletines de Seguridad Microsoft está compuesta por seis ejemplares, numerados del 28 al 33, y aquí van los detalles.
- MS09-028 – Soluciona tres fallas de programación que abren otras tantas ventanas de entrada indebida en Microsoft DirectShow. Se usa como medio de ataque un archivo QuickTime especialmente preparado. Fue calificado como Crítico, y los detalles están en la Nota de Base de Conocimiento 971633.
- MS09-029 – Emparcha dos vulnerabilidades encontradas en el motor de fuentes OpenType que se embeben en documentos. (Embedded OpenType Font Engine). Vía de ataque, un archivo con texto (“doc”, “ppt”, “xls”) que haga trabajar ese componente de Windows en la máquina atacada. RTF también vale… Más datos, en la Nota 961371. Lo calificaron Crítico. No afecta a Office, afecta a Windows, ¿entendiste?
- MS09-030 – La falla esta vez reside dentro del código de Microsoft Publisher, exactamente en cómo Publisher abre los archivos. (¿Cómo los abre? Descuidadamente, muchachos) Por lo cual, te empomarán si abres un archivo de Publisher sin haber emparchado tu compu. Es un problema calificado como “importante”, lo cual indica que les importa un poco menos, y los detalles están en la Nota 969516.
- MS09-031 – Esta vez, los que transpirarán si no emparchan los equipos serán los administradores de máquinas donde corra Microsoft ISA Server 2006. Tal como dice claramente la Nota 970953, “…existe una vulnerabilidad de elevación de privilegios en la autenticación de ISA Server 2006 cuando está configurada con OTP de Radius (…) la vulnerabilidad podría permitir que un usuario no autenticado obtuviera acceso a cualquier recurso web publicado (…) si conoce los nombres de usuario de cuenta de administrador, un atacante que aprovechara esta vulnerabilidad podría tomar el control completo de los sistemas que se basen en las reglas de publicación web de ISA Server 2006 para la autenticación…” ¿Te quedó claro? Sólo hace falta que conozca el username del Administrador, no la contraseña. Y apuesto que en una gran cantidad de casos, ese username es… “administrador”. O “admin”, por ejemplo. Ah, ISA Server 2000 y 2004 zafaron, no están afectados. Y si un ISA Server 2006 no está configurado para la autenticación de contraseña Radius de un solo uso (OTP) ni la delegación de autenticación con delegación restringida de Kerberos, tampoco está afectado (eso dicen en Microsoft). ¿Calificación? Importante.