Alerta rojaMicrosoft TechNet

Con fecha del 27 de Noviembre del 2013 Microsoft ha publicado un aviso de seguridad (2914486) por una vulnerabilidad 0 day en el kernel de Windows. Microsoft está investigando informes nuevos de una vulnerabilidad con CVE-2013-5065, en un componente del kernel de Windows XP y Windows Server 2003. Microsoft tiene constancia de ataques limitados y dirigidos que intentan aprovechar esta vulnerabilidad.

Microsoft en su investigación de esta vulnerabilidad ha comprobado que no afecta a los clientes que usan sistemas operativos más recientes que Windows XP y Windows Server 2003.

Se trata de una vulnerabilidad de elevación de privilegios. Un atacante que consiguiera aprovechar esta vulnerabilidad podría ejecutar código arbitrario en modo kernel. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos administrativos.

Microsoft está trabajando activamente con los socios de su programa Microsoft Active Protections Program (MAPP) para proporcionar información que pueden usar para ofrecer una mayor protección a los clientes.

Una vez terminada la investigación, Microsoft adoptará las medidas apropiadas para proteger a sus clientes. Dichas medidas podrían incluir una actualización de seguridad en su publicación mensual, o bien una actualización de seguridad fuera de ciclo, según las necesidades de los clientes.

Factores atenuantes:

  • Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local. Los usuarios anónimos o los usuarios remotos no pueden aprovechar esta vulnerabilidad

La lista de los Sistemas operativos afectados es la siguiente:

Windows XP Service Pack 3

Windows XP Professional x64 Edition Service Pack 2

Windows Server 2003 Service Pack 2

Windows Server 2003 x64 Edition Service Pack 2

Windows Server 2003 con SP2 para sistemas con Itanium

 

Entre las acciones recomendadas esta la aplicación de soluciones provisionales

Las soluciones provisionales hacen referencia a un cambio de opción o configuración que no corrige el problema subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de que esté disponible una actualización de seguridad. Para que obtenga más información vea las soluciones provisionales siguientes:

Volver a enrutar el servicio NDProxy a Null.sys
Para entornos con privilegios de usuario limitados y no predeterminados, Microsoft ha comprobado que la siguiente solución provisional bloquea de forma efectiva los ataques que se han observado.Para implementar esta solución alternativa, siga estos pasos:

  1. Desde un símbolo del sistema administrativo, ejecute los comandos siguientes:

sc stop ndproxy
reg add HKLM\System\CurrentControlSet\Services\ndproxy /v ImagePath /t REG_EXPAND_SZ /d system32\drivers\null.sys /f

  1. Reinicie el sistema.

Efectos de esta solución alternativa

La deshabilitación de NDProxy.sys provocará que no funcionen determinados servicios que se basan en las interfaces de programación de aplicaciones de telefonía (TAPI) de Windows. Entre los servicios que dejarán de funcionar se incluyen Servicio de acceso remoto (RAS), red de acceso telefónico y red privada virtual (VPN).

Cómo deshacer la solución provisional

Para deshacer esta solución alternativa, siga estos pasos:

  1. Desde un símbolo del sistema administrativo, ejecute los comandos siguientes:
sc stop ndproxy
reg add HKLM\System\CurrentControlSet\Services\ndproxy /v ImagePath /t REG_EXPAND_SZ /d system32\drivers\ndproxy.sys /f
  1.  Reinicie el sistema.
Las acciones adicionales recomendadas son las siguientes:
  • Proteja su PC

Microsoft sigue recomendando a los clientes que apliquen los consejos de la sección Proteja su PC; a saber: es la de habilitar un firewall, obtener actualizaciones de software e instalar software antivirus. Para obtener más información, visite el Centro de seguridad y protección de Microsoft.

  • Mantener actualizado el software de Microsoft

Los usuarios que ejecutan software de Microsoft deben aplicar las actualizaciones de seguridad más recientes para que sus equipos cuenten con el máximo nivel de protección posible. Si tiene dudas acerca de si su software está actualizado, visite Microsoft Update, explore las actualizaciones disponibles para el equipo e instale las actualizaciones importantes que se le ofrezcan. Si tiene habilitadas y configuradas las actualizaciones automáticas para los productos de Microsoft, las actualizaciones se entregan cuando se publican, pero debe asegurarse de que están instaladas.

Fuente: Technet Microsoft Security Advisory (291486)