Nuevas formas de aprovechar viejas vulnerabilidades

En un artículo con el mismo título aparecido en Hispasec, el día de ayer (24 de marzo), se da cuenta de la torpe e inadaptado del modelo de ingeniería de software que se sigue en Microsoft. El asunto es el siguiente, hay vulnerabilidades que datan desde el 2005 en el motor de base de datos Jet Engine, usado por Access, que permite a un atacante ejecutar código arbitrario, en cuanto el archivo es abierto. Esto significa que al abrir el documento MDB de Access, se podrían instalar troyanos en cualquier PC con Windows.

El asunto es que la aproximación de Microsoft para no parchar el motor de base de datos, ha sido que un MDB es prácticamente un ejecutable, y al ser condierado de esa manera, si un usuario lo abre sin conocer al remitente o su contenido sería lo mismo que ejecutar un .EXE enviado por un extraño, el asunto esta en que el error no esta limitado a los archivos con extensión MDB. Los ciberdelincuentes han conseguido saltar la restricción impuesta por Microsoft que no deja abrir archivos MDB, simplemente escondiendo un script en documentos Word que llama a un archivo con estructura Access, pero con otra extensión. De esa forma un atacante remoto sólo envía dos archivos un aparentemente inofensivo .DOC, con otro archivo que puede tener cualquier extensión y que es alli donde esta oculto el troyano, o por el contrario puede enviar los dos archivos dentro de un ZIP, con iguales resultados.

Lo que vale la pena resaltar aquí es cómo una "gerencia profesional", puede ser perfectamente inútil frente a un entorno tecnológico altamente volátil. No se puede simplemente ignorar bugs, porque es económicamente poco rentable repararlos, pues esos errores comprometen al sistema en su conjunto. Aunque tal vez por eso sea que Microsoft gasta más en marketing que en investigación y desarrollo, para ocultar su desastroza gestión de ingeniería.

Microsoft oficialmente ha reconocido el error, aquí el link en Technet, y ha ofrecido repararlo pronto (Será esta una más de la promesas incumplidad de Microsoft?), además ha informado que Windows 2003 Server SP2 y Windows Vista con y sin el SP1, no son vulnerables a este tipo de ataque.

Lamentablemente no comparto la diversión que tienen muchos usuarios Windows, de reinstalar su sistema operativo al menos una vez al mes, tener que defragmentar el disco duro una vez a la semana, o tener varios programas adicionales que ayuden a volver seguro un sistema operativo por el que han pagado. Desde hace años que no conozco esos placeres pues cambie a Linux, pero lo que me sorprende es que cientos de millones de personas continuan fieles a Microsoft, probablemente hay un extraño placer, una adicción a las pantallas azules de la muerte, que yo no puedo entender.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.