lunes, enero 30, 2006

WMF, conspiraciones y Windows Vista

Parece que Microsoft, una vez más, nos la quiere colar. ¿Paraonia o realidad? Si ya hemos leído en muchos sitios de que el gobierno ha obligado más de una vez a tener en Windows una puerta trasera para que el FBI pueda acceder, no parece tan descabellado. Sea o no cierto, destapa la incompetencia de Micro$oft (no confundir con Microsano).

Steve Gibson ha publicado una, cuando menos, curiosa teoría. La famosa
vulnerabilidad de los Windows MetaFile (WMF) que ha supuesto una
pesadilla para Microsoft (obligándola, quizás por presiones externas,
a romper su ciclo de actualizaciones mensuales) podría ser intencionada.
Una puerta trasera incluida a propósito en el sistema operativo más
famoso.

El 12 de enero Steve Gibson y su Gibson Research Corporation desataron
la polémica. Una mezcla de conspiración y paranoia, pero basada en
datos técnicos concretos. Gibson es un reputado especialista en
seguridad informática. Su página, grc.com aloja útiles y variadas
herramientas de seguridad para Windows y suele realizar intensos y
concienzudos exámenes técnicos. Uno de ellos, estudiaba a fondo la
vulnerabilidad WMF.

Este fallo, decía, está basado en los registros de tipo META_ESCAPE,
concretamente en el subcódigo SetAbortProc. En ella se deben especificar
dos argumentos, uno que representarían el "Device Context" y el segundo
sería una función a ejecutar ante un evento de cancelación de impresión.

Sin embargo, según el estudio de Gibson, esto no ocurre exactamente
así. Descubrió, cuando tuvo problemas para fabricar su propio "exploit"
de la vulnerabilidad, que era necesario poner el valor LENGTH de la
función SetAbortProc (culpable del fallo) a "1". Los primeros 4 bytes
de cualquier metafile representan la longitud, pero para conseguir un
exploit funcional para esta vulnerabilidad concreta, y poder ejecutar
código arbitrario al procesar este tipo de ficheros, era necesario
según Gibson, establecer deliberadamente ese valor a "1".

De este extraño y sospechosamente concreto valor necesario para lanzar
el peligroso comportamiento de la función, con el que Gibson consiguió
reproducir un exploit válido, dedujo que la única conclusión razonable
es que se trataba de una puerta trasera incluida en las versiones
recientes de Microsoft. Por qué estaba así programado, quién lo sabía
y para qué se supone que iba a ser usado, nunca lo sabríamos.

Evidentemente, acusaciones de tal magnitud vertidas por un reputado
experto, no tardaron en crear un gran revuelo entre investigadores
e interesados. La mayoría, en las listas especializadas, no podían
más que desechar la teoría de conspiración de Gibson. Simplemente,
resultaba demasiado increíble y de ser cierto, podría convertirse
en un acontecimiento de tal magnitud que su repercusión escaparía
a la imaginación de cualquiera.

Microsoft, a través de su blog, se defendió.

Sigue leyendo en http://www.hispasec.com/unaaldia/2643/

No hay comentarios: