Ejemplos y descripciones de varias vulnerabilidades comunes

Microsoft Windows, el sistema operativo más utilizado en los sistemas conectados a Internet, contiene múltiples vulnerabilidades graves. Los más explotados son en IIS, MS- SQL, Internet Explorer y el servidor de archivos y los servicios de procesamiento de mensajes del propio sistema operativo.

Una vulnerabilidad en IIS, detallada el boletín de seguridad de Microsoft MS01-033, es una de las vulnerabilidades más explotadas de Windows. Un gran número de gusanos informáticos se han escrito en los últimos años para explotar esta vulnerabilidad, incluyendo el CodeRed. Éste se detectó por primera vez el 17 de julio de 2001, y se cree que ha infectado a más de 300, 000 usuarios. Interrumpió un gran número de empresas, y causó enormes pérdidas financieras en todo el mundo. Aunque Microsoft ofreció un parche para esta vulnerabilidad en el boletín de seguridad MS01-033, algunas versiones del gusano informático CodeRed aún se siguen propagando a través de Internet.

El gusano Spida, detectado casi un año después de que el CodeRed apareciera, basado en una exposición en el paquete de software del servidor MS- SQL para propagarse. Algunas instalaciones predeterminadas del servidor MS -SQL no tenían una contraseña en la cuenta del sistema, “SA”. Esto permitió a cualquier persona con acceso a la red, que pudiera hacer funcionar comandos aleatorios. Cuando se utiliza esta exposición, el gusano configura la cuenta del “invitado” para permitir el intercambio de archivos y las propias cargas al objetivo deseado. Luego utiliza el mismo acceso a la cuenta “SA” y la misma contraseña de MS-SQL para lanzar una copia remota de sí mismo, difundiendo así la infección.

El gusano informático Slammer, detectado a finales de enero de 2003, utiliza un método aún más directo para infectar los sistemas Windows que ejecutan el servidor MS -SQL: un exceso de carga de vulnerabilidad en una de las subrutinas del paquete UDP. Como era relativamente pequeño, 376 bytes, y utilizaba el UDP, un protocolo de comunicación diseñado para la transmisión rápida de datos, Slammer se propagó a una velocidad increíble. Algunos estiman que el tiempo necesario para que Slammer se extendiera por el mundo fueron menos de 15 minutos, infectando alrededor de 75, 000 servidores.

Estos tres gusanos informáticos dependieron de las vulnerabilidades y exposiciones en el software ejecutado en varias versiones de Microsoft Windows. Sin embargo, el gusano Lovesan, detectado el 11 de agosto de 2003, utilizó una carga mucho más pesada en un componente central del propio Windows para propagarse. Esta vulnerabilidad se detalla en el boletín de seguridad de Microsoft MS03-026.

Sasser, que apareció por primera vez a principios de mayo de 2003, se aprovechó del componente central de otra vulnerabilidad, esta vez en el Servicio de Subsistema de Autoridad de Seguridad Local (LSASS). La Información sobre la vulnerabilidad fue publicada en el boletín de seguridad de Microsoft MS04-011.
Sasser se propagó rápidamente, e infectó a millones de computadoras en todo el mundo, suponiendo un gran gasto para las empresas. Muchas organizaciones e instituciones se vieron obligadas a suspender sus operaciones debido a la disrupción de la red causada por el gusano informático.

Inevitablemente, todos los sistemas operativos contienen vulnerabilidades y exposiciones que pueden ser el objetivo de los hackers y creadores de virus. Aunque las vulnerabilidades de Windows reciben la mayor publicidad debido a la cantidad de equipos que ejecutan Windows, Unix tiene sus propias debilidades.

Durante años, una de las exposiciones más populares en el mundo de Unix, ha sido el servicio de “finger”. Este servicio permite a alguien fuera de una red ver qué usuarios están registrados en un cierto equipo o localización.

El servicio “finger” es útil, pero también expone una gran cantidad de información que puede ser utilizada por hackers.

Login     Name       Tty      Idle  Login Time   Office         Office Phone
xenon                pts/7   22:34  May 12 16:00 (chrome.chiba)
polly                pts/3      4d  May  8 14:21
cracker   DarkHacker pts/6      2d  May 10 11:58

Así es como se ve un ejemplo de un informe de “finger” a distancia:

Login     Name       Tty      Idle  Login Time   Office         Office Phone
xenon                pts/7   22:34  May 12 16:00 (chrome.chiba)
polly                pts/3      4d  May  8 14:21
cracker   DarkHacker pts/6      2d  May 10 11:58

Esto demuestra que podemos aprender algunas cosas interesantes sobre el equipo remoto utilizando el servidor finger: hay tres usuarios conectados pero dos de ellos han estado inactivos durante más de dos días, mientras que el otro ha estado lejos de la computadora durante 22 minutos. Los nombres de acceso mostrados por el servicio pueden utilizarse para tratar combinaciones de usuario/contraseña. Esto puede resultar rápidamente en un compromiso del sistema, especialmente si los usuarios han basado sus contraseñas en su nombre de usuario, algo relativamente común.

El servicio finger no sólo expone información importante sobre dónde se encuentra el servidor; ha sido el objetivo de muchos exploits, incluyendo el famoso gusano informático diseñado por Robert Morris Jr., que fue lanzado el 2 de noviembre de 1988. Por lo tanto, las distribuciones modernas de Unix vienen con este servicio deshabilitado.

El programa “Sendmail”, originalmente diseñado por Eric Allman, también es otro objetivo popular para los hackers. “Sendmail” fue desarrollado para la transferencia de mensajes de correo electrónico a través de Internet. Debido al gran número de sistemas operativos y configuraciones de hardware, “Sendmail” se convirtió en un programa extremadamente complejo, que cuenta con una larga y notoria historia de vulnerabilidades graves. El gusano Morris se aprovechó de un “sendmail”, así como la vulnerabilidad “finger” para propagarse.

Hay muchos otros exploits populares en el mundo de Unix, dirigidos a paquetes de software como SSH, Apache, WU- FTPD, BIND, IMAP/POP3, varias partes del núcleo, etc.

Los exploits, las vulnerabilidades y los incidentes mencionados anteriormente, marcan un hecho importante. Mientras que el número de sistemas que ejecutan IIS, MS- SQL u otros paquetes de software, pueden ser contados en los miles de cientos de miles, el número total de los sistemas que ejecutan Windows es probablemente muy cercano a varios cientos de millones. Si todos estos equipos fueran atacados por un gusano o un hacker usando una herramienta de hacking automatizada, esto supondría una grave amenaza para la estructura interna y la estabilidad de Internet.