Hacking

Windows XP SP2

Widows XP Service Pack 2

 

Los mejores estrategas militares del pasado establecían, a la hora de la construcción de fortalezas, una defensa basada en diferentes niveles de obstáculos, creando un sistema de capas de protección que impedía o dificultaba un ataque directo a las partes críticas de la construcción. La aproximación a la seguridad que toma el SP2 de Windows XP intenta darnos la misma protección que ofrece disponer de varios niveles de defensa. La idea es crear una serie de capas de protección para disminuir el riesgo frente virus y gusanos, aun en el caso de que no hayamos podido actualizar el sistema ante una vulnerabilidad en una determinada función.

En realidad, son nuevas tecnologías de seguridad que mitigan el riesgo cuando una actualización no puede ser desplegada de forma inmediata por cualquier razón. Estas tecnologías las podemos agrupar en las siguientes áreas:

Es importante entender el alcance de cada una de ellas y ver como impacta en las sistemas actuales, por ello vamos a ver detenidamente cada una de las innovaciones y modificaciones que supone la instalación del Service Pack 2 para Windows XP.

1. TECNOLOGÍAS DE PROTECCIÓN DE LOS SERVICIOS DE RED

En el siguiente apartado vamos a comentar aquellas innovaciones introducidas en el SP2 de XP que tienen impacto en la forma de trabajar en red Windows XP.

SERVICIO DE ALERTAS Y MESSENGER

Estos servicios son componentes de Windows heredados de versiones inferiores y que permiten enviar mensajes entre máquinas en la red. El servicio de Messenger envía mensajes desde aplicaciones y servicios, mientras que el servicio de Alertas esta orientado de forma específica a alertas administrativas del sistema.

SOPORTE BLUETOOTH

Bluetooth es una de las tecnologías inalámbrica de rango corto de mayor éxito y disponible en una amplia variedad de dispositivos. Hasta ahora el soporte de estos dispositivos era responsabilidad del fabricante. Éste era quien proveía de toda la pila de comunicaciones para el dispositivo. Con el SP2 se introduce el soporte nativo de esta tecnología.

Si existe un driver no-Microsoft de Bluetooth, la actualización a SP2 no hace que el controlador sea reemplazado. Se puede hacer posteriormente de forma manual o a través de un programa.

HERRAMIENTAS ADMINISTRATIVAS CLIENTE

Las herramientas administrativas cliente son una serie de consolas de gestión llamadas genéricamente MMC, Microsoft Management Console, a las que se les incorporan unos complementos con la funcionalidad requerida. Por ejemplo, administrar usuarios, ordenadores, servicios y otros componentes.

Existen dos cuadros de dialogo generados por estas utilidades de gestión. Uno es el seleccionar usuarios, ordenadores o grupos y otro es el buscar usuarios, contactos o grupos. El primero es el usado al poner seguridad en carpetas compartidas, por ejemplo. El segundo suele aparecer en búsquedas en el directorio activo.

MEJORAS DE SEGURIDAD EN DCOM

El modelo de componentes distribuidos DCOM es un modelo de programación para crear componentes software que interaccionen entre sí, en local o remoto. Esto habilita al programador distribuir los componentes de la aplicación en distintas ubicaciones según lo requiera. El SP2 modifica el comportamiento si estos componentes están en remoto.

RESTRICCIÓN DEL INTERFACE RPC

Se han introducido varios cambios en el servicio con el fin de securizar el acceso al interface. La modificación más significativa podemos decir que es la nueva clave de registro “RestricRemoteClients”. Esta clave modifica el comportamiento por defecto de todos los interfaces RPC en el sistema haciendo que no sean accesibles de forma anónima. Otro cambio implica a la clave EnableAuthEpResolution para resolución de la autenticación del asignador dinámico de puertos y tres nuevos flags de registro para los desarrolladores de aplicaciones.

REDIRECTOR WEBDAV

El redirector WebDAV (DAVRdr) permite a los sistemas Windows XP acceder a servidores WebDAV (Web-based Distributed Authoring and Versioning). Siendo WebDAV una extensión de http, existe la posibilidad de autenticación básica y en este caso el nombre de usuario y password van sin cifrar. El redirector DAVRdr no soporta cifrado http (HTTPS o SSL) y transmitirá las credenciales en claro en caso de que se intente una autenticación básica. Si el servidor es configurado para no aceptar este tipo de autenticación entonces no se enviarán las credenciales sin cifrar. Sin embargo existe el riesgo de que un servidor sea impersonado y por lo tanto que un servidor “falso” fuerce una autenticación básica, robando las credenciales.

 

WINDOWS FIREWALL

Windows Firewall (ver Pantalla 1), anteriormente Internet Connection Firewall, es un firewall software con filtro de estado mantenido para Windows XP y Windows Server 20003. Aporta una protección adicional frente a conexiones entrantes no solicitadas en TCP/IP IPv4 e IPv6. Las opciones de configuración incluyen:

 

Service Pack 2 tiene los siguientes efectos en este componente:

Activo por defecto

Antes de SP2 el firewall se encontraba desactivado por defecto. El usuario necesitaba configurarlo manualmente, lo que en general era demasiado difícil para los usuarios. Por tanto, en muchos casos, el sistema operativo quedaba desprotegido al no activarse para el interface conectado a red.

Seguridad en tiempo de arranque

En versiones anteriores hay una ventana de tiempo desde el arranque de la pila de red hasta que el firewall empieza a proteger en donde el sistema es susceptible de ser atacado. Esto es debido a que el firewall no comienza a filtrar hasta que el servicio es cargado y se ha aplicado la política de protección configurada. El tiempo de carga es función de las dependencias que el servicio Firewall tiene de otros servicios y de la velocidad de la maquina.

Configuración global

En las versiones anteriores, Windows Firewall era configurado para cada interfaz de red. Lo cual significaba que cada interfaz requería su propia definición. Esto, en sí, es muy difícil gestionar a nivel de sistema y más a nivel de organización.

Restricciones para la red local

Por defecto, cuando un puerto es abierto, se hace de forma global; cualquier tráfico entrante desde cualquier red puede llegar al puerto. Ya sea desde Internet, intranet o local.

Soporte de configuración por línea de comando

La necesidad de poder configurar el firewall por línea de comando ha hecho necesario el desarrollo de una aplicación de configuración que abarque la amplia funcionalidad de Windows Firewall tanto en IPv4 como IPv6.

Modo operacional: Activo sin excepciones

En el uso normal de Windows XP, éste, puede permitir la recepción de tráfico no solicitado desde distintos puntos de la red; por ejemplo, si comparte una impresora. A su vez, pueden ejecutarse varias aplicaciones con sus respectivos puertos configurados. En estos entornos, en caso de riesgo puntual, es necesario poder configurar al sistema, de forma inmediata, que trabaje como “solo cliente” sin exponer ningún servicio.

Lista de excepciones

Cuando una aplicación actúa como servidor se debe permitir el acceso de tráfico no solicitado por adelantado, ya que, en general, no sabemos quien quiere interaccionar con ésta. Hay entonces un trabajo de la aplicación que debe solicitar al Firewall la apertura de los puertos necesarios para recibir las comunicaciones y además cerrarlos al terminar. Por otra parte para poder permitir estas operaciones la aplicación debería correr en el contexto de seguridad de un administrador local, lo cual viola el principio de menor privilegio.

Múltiples Perfiles

Soporte RPC
En las versiones anteriores del Firewall, el tratamiento de las aplicaciones que hacían uso de la asignación de puertos RPC, de forma dinámica, era muy problemático. El Firewall podía permitir el acceso al puerto del “asignador dinámico de puertos RPC” para que se asignara un puerto al cliente. Pero el puerto asignado era aleatorio, y por tanto, el Firewall no permitía el acceso al tenerlo previamente bloqueado.

Restauración de la configuración por defecto

Soporte para la instalación desatendida

Soporte ampliado de tráfico multicast y broadcast

Existen ciertos escenarios donde es necesario captar tráfico difundido en modo multicasts o broadcast. Este tipo de tráfico es rechazado por el Firewall ya que provienen de una máquina desconocida tras una petición previa del sistema. Esto impide el uso de ciertas aplicaciones de difusión de media o descubrimiento de servicios en red.

Configuración a través de políticas de grupo

En la versión de Windows Firewall disponible hasta ahora solo se podía controlar, por políticas de grupo, la prohibición o no del uso del Firewall.

WINDOWS MESSENGER

Windows Messenger es el cliente de mensajería instantánea que permite comunicar en tiempo real con otros usuarios de Windows Messenger y MSN Messenger. Se han añadido nuevas funcionalidades con objeto de incrementar la seguridad. Estas son algunas:

Bloqueo de transferencias de ficheros no seguras

Cuando alguien trata de enviarnos un fichero Windows Messenger primero mira a ver si esta en la lista de contactos. Posteriormente examina el tipo de fichero y salvo que sean .img , .jpg, o .txt nos preguntará qué queremos hacer con él. Los ficheros considerados no seguros son todos los que podrían tener algún tipo de código embebido como .doc, ppt, pdf, zip, exe, cmd, wsh,…

Obligación de presentar el nombre de contacto

Con SP2 será necesario tener un nombre de contacto diferente del alias de correos usado para entrar en el servicio de mensajería instantánea. Con esto se evita el riego de que ciertos virus sean capaces de descubrir el alias de correos en los ficheros de texto donde se guarden las conversaciones.

SERVICIO DE APROVISIONAMIENTO WIRELESS

Los servicios de aprovisionamiento Wireless, SAW, son una extensión a los servicios de Wireless e interfaces de administración de conexiones de red dentro de Windows XP y Windows Server 2003. Por tanto, están construidos sobre características ya existentes como la auto configuración Wireless y seguridad WPA (Wi-Fi protected Access) y PEAP (Protected Extensible Authentication). Este nuevo servicio trabaja en conjunto con Windows Server 2003 SP1 ya que se requiere de la funcionalidad modificada del servicio IAS (Internet Authentication Service, Radius) para el servicio de autenticación de clientes en el proceso de aprovisionamiento.

El objeto de SAW es permitir a las empresas y a los proveedores de acceso a Internet Wireless enviar información de aprovisionamiento y configuración a los clientes móviles que intentan conectar a Internet o los servicios de red corporativos de una organización. Entre la información que es posible enviar a los clientes están los nombres de diferentes identificadores SSID, redes opcionales, información de costo, facturación y cobro por uso, así como políticas de uso.

Toda la información de configuración e información que se descarga al cliente queda registrada y en accesos sucesivos la entrada será automática refrescando las configuraciones. El resultado final es el acceso transparente, automático y seguro de un cliente a redes Wireless corporativas o públicas.

2. TECNOLOGÍAS DE PROTECCIÓN DE LA MEMORIA

Hay una variedad de ataques que están basados en la posibilidad de inyectar código ejecutable en zonas de memoria donde sólo debería haber datos. Una vez colocado el código y por diversas técnicas se explota esta posibilidad. La protección de ejecución básicamente lo que hace es marcar todas las posiciones de memoria en un proceso como no-ejecutables a menos que el lugar contenga de forma explicita código ejecutable. Cuando desde una posición de datos se intenta ejecutar código, la protección de ejecución eleva una excepción a la aplicación.

La protección de memoria trabaja junto con el procesador para marcar la memoria con un atributo que indica que no se debe ejecutar desde esa área de memoria. Además funciona en base a páginas de memoria virtual, cambiando un bit en la tabla de entradas de página (PTE) para marcar la página de memoria.

Tanto Intel como AMD han presentado procesadores con este tipo de protección. Windows soporta protección en la plataforma AMD64 e Intel Itanium Processor. La versión 32 bits de Windows (comenzando con XP SP2) utiliza la protección NX según la define AMD. Para ello el procesador debe ejecutar en modo PAE (physical Address Extensión). Las versiones de 64bits usan la característica NX del procesador y ciertos valores de derechos de acceso a la PTE en los procesadores Intel IPF. Se espera que las futuras versiones de procesadores 32 y 64 bits soporten protección de ejecución.

Protección de ejecución en versiones 32bits Windows y sus aplicaciones

Para poder aprovechar esta protección es necesario que lo soporte el procesador. Como es lógico pensar, por ahora, la mayor parte de los sistemas Windows y las aplicaciones compatibles Windows en el futuro consistirán en procesadores 32 bits y aplicaciones 32 bits. El primer paso de la industria son los procesadores con extensiones 64 bits tales como al AMD Opteron y Athlon 64 que soportan ambos modos de ejecución y que son capaces de trabajar con aplicaciones antiguas y nuevas con soporte NX cuando PAE esta activado.

 

3. TECNOLOGÍAS PARA EL MANEJO SEGURO DEL CORREO

Outlook Express
Outlook Express es una de los clientes de correo usados mas frecuentemente para acceso al correo electrónico y foros de noticias. Por ello se han aplicado los siguientes cambios en su funcionalidad:

Modo Texto plano
Al recibir un correo en formato HTML, Outlook Express utiliza el control MSHTML. Este control procesa de forma automática la cabecera de script HTML donde se puede encontrar código malicioso y exponer, de esta forma, al sistema.

No bajar contenido HTML externo
Los autores de correo spam suelen recurrir a referencia a imágenes que residen en sus web dentro de los correos. Cuando el correo es recibido por el usuario, al abrirlo, se produce una búsqueda automática de estas imágenes, confirmando al creador del spam que la dirección de envío es correcta. Una vez confirmada esta dirección se podrá ver sometida a nuevas acciones de spam en adelante.

Integración en el API de AES
AES es un nuevo conjunto de interfaces de programación llamado servicio de ejecución de adjuntos o “Attachment Execution Service”. El objeto de AES es eliminar todo el código de las distintas aplicaciones orientado a chequear los ficheros adjuntos y crear un marco invocable por todas las aplicaciones que hagan uso de adjuntos. AES de esta forma, presenta una gestión centralizada del tratamiento de adjuntos, reforzando centralizadamente las políticas de uso seguro de adjuntos.

 

4. TECNOLOGÍAS PARA LA NAVEGACIÓN SEGURA POR INTERNET

En este apartado vamos a ver las tecnologías incluidas en el SP2 de Windows XP que hacen posible una navegación Web más segura.

Mejoras en la descarga, adjuntos y Authenticode

Los avisos que aparecen en la descarga de ficheros, adjuntos en el correo, ejecución de procesos e instalación de programas se han modificado en el SP2 para ser más claros y consistentes. Además, Windows XP muestra al usuario el editor de un fichero cuando se seleccionan ficheros ejecutables en Internet Explorer u Outlook Express. Con este cambio se mejora la experiencia en la descarga de ficheros de Internet y se impide que ficheros sospechosos comprometan la seguridad del sistema.

Componentes de detección de fallos y gestión en Internet Explorer

Los datos obtenidos con los informes de errores de Windows han mostrado que una de las principales causas de la inestabilidad de Internet Explorer son los complementos añadidos al mismo, además de que éstos podrían contener código malicioso o desconocido. En el SP2 aparecen dos nuevos componentes, el de gestión, que permite a los usuarios ver y controlar la lista de complementos que pueden cargarse en Internet Explorer (ver Pantalla 2) y el de detección de fallos que intenta detectar fallos en IE relativos a un determinado complemento; cuando éste es identificado, el usuario puede desactivar el mismo. Con esta funcionalidad, los administradores pueden crear una lista con los complementos permitidos o no y restringir los permisos a los usuarios para que no puedan gestionarlos.

 

Siempre que Internet Explorer falle, se iniciará el componente de Detección de Fallos. Si detecta que el fallo lo ha provocado un complemento, aparece un cuadro de diálogo con toda la información al respecto.

Parámetros de seguridad del comportamiento binario de IE

Internet Explorer contiene componentes que encapsulan funcionalidad específica para los elementos HTML a los que son anexados. A estos componentes binarios no se los controla con los parámetros de seguridad de IE, lo que permite que funcionen en páginas Web incluso en la zona de Sitios Restringidos.

Mitigación BindToObject de Internet Explorer

En SP2, el modelo de seguridad de los ActiveX se aplica en todos los casos donde el enlace URL se utiliza para instanciar e inicializar un objeto. Por tanto, el modelo permite controles que sean marcados como “seguro para scripting” y “seguro para inicialización” y permite a los usuarios bloquear o permitir los controles ActiveX por zona de seguridad.

Barra de información de Internet Explorer

La barra de información de IE en SP2 sustituye a muchas cajas de diálogo que piden información a los usuarios y proporciona un área de información a estos mismos usuarios. Las notificaciones incluyen instalación de ActiveX bloqueados, elementos emergentes, descargas y contenido activo.

 

Parámetros de control de las zonas de seguridad de IE

Los clientes indicaron que se necesitaba una configuración más precisa en las diferentes zonas de seguridad. Por ejemplo, un control que proteja a los usuarios en la zona de Internet podría romper una aplicación intranet. Por tanto, SP2 proporciona más precisión en el control de las zonas de seguridad para ayudar a gestionar la compatibilidad de aplicaciones intranet.

Parámetros de control de IE en políticas de grupo

El SP2 introduce nuevas claves y valores del registro para IE llamadas Control de Funcionalidades. Los administradores pueden gestionar las nuevas políticas de control mediante objetos de política de grupos (GPO).

Bloqueo de la zona máquina local de IE

Cuando IE abre una página web, éste aplica restricciones a lo que la página puede hacer, basado en la zona de seguridad de esa página. Antes del SP2, el contenido del sistema de ficheros local era asignado a la zona de seguridad de la máquina local, y esta zona permite que el contenido se ejecute con relativamente pocas restricciones. Por tanto, los atacantes intentaban aprovecharse de esta zona para elevar los privilegios y comprometer el sistema.

Ahora SP2 protege al usuario bloqueando la zona de la máquina local por defecto. Además los administradores podrán utilizar las políticas de grupo para gestionar el bloqueo de esta zona y para aplicarlo a los diferentes grupos de máquinas.

Los desarrolladores de controles ActiveX que permitían privilegios elevados en la zona máquina local no deberían cambiar sus controles para permitir privilegios elevados en otra zona; estos controles deberían ser convertidos para ejecutarse sólo desde una aplicación HTML (fichero .hta) o una aplicación que se ejecute fuera del bloqueo de la zona máquina local.

Parámetros de seguridad de la MSJVM de IE

Las versiones anteriores de Windows incluían la Máquina virtual de Java de Microsoft (MSJVM). Existía un parámetro para desactivar la MSJVM, pero este parámetro desactivaba también la máquina virtual de Java de cualquier otro fabricante. Con el SP2, este parámetro funciona exclusivamente con la MSJVM. Por defecto, la MSJVM se activa para todas las zonas, excepto para la de Sitios Restringidos.

Refuerzo del manejo MIME de Internet Explorer

IE utiliza la información tipo MIME (Extensiones de correo Internet multipropósito) para decidir cómo manejar los ficheros que han sido enviados por un servidor Web, es decir, qué hacer con un ejecutable o con un fichero .jpg, por ejemplo. En el SP2, IE sigue unas reglas estrictas diseñadas para reducir la superficie de ataque y el tipo de información que utiliza IE para saber cómo manejar el fichero es la extensión, el tipo de contenido de la cabecera HTTP, la disposición del contenido y los resultados del análisis MIME.

Caché de objetos de Internet Explorer

En versiones anteriores al SP2, algunas páginas Web podrían acceder a objetos cacheados de otro sitio Web. Por ejemplo, se podrían crear scripts que escucharan eventos o contenido en otro sitio Web, como números de tarjetas de crédito u otro dato sensible. En el SP2, ya no está accesible la referencia a un objeto cuando el usuario navega a un nuevo dominio.

Bloqueador de elementos emergentes de Internet Explorer

El bloqueador de elementos emergentes (pop-ups) bloquea la mayoría de las ventanas no deseadas que aparecen cuando se navega. Los usuarios finales y administradores pueden permitir a dominios específicos que abran este tipo de ventanas. Con esta funcionalidad, la navegación por Internet será menos molesta.

 

Bloqueo de los editores en los que no se confía de IE

Esta característica permite que el usuario bloquee todo el contenido firmado de un determinado editor sin necesidad de mostrar el cuadro de diálogo de Authenticode. Esto permite que el código del editor bloqueado no sea instalado ni tampoco el código con firmas inválidas.

Restricciones de ventanas de Internet Explorer

IE tiene la capacidad de poder desarrollar scripts que programáticamente abran ventanas adicionales de diferentes tipos y que reposicionen y cambien el tamaño de las ventanas existentes. La característica “Restricciones de ventanas” restringe dos tipos de ventanas: las ventanas popup (que no tienen componentes como la barra de dirección, la barra del título, la barra de estado y barras de herramientas) y las que incluyen la barra del título y la barra de estado.

Bloqueos de elevación de zona de Internet Explorer

Cuando se abre una página Web en Internet Explorer, éste aplica restricciones en lo que la página puede hacer, basado en dónde esté la página: Internet, un servidor intranet, un sitio en el que se confía, etc. La zona de seguridad Máquina Local es la zona con menos restricciones de seguridad, por lo que hace que sea el principal destino para los usuarios maliciosos. La característica de Bloqueo de Elevación de Zona endurece la posibilidad de ejecutar código en esta zona, además de hacerla menos vulnerable.

5. TECNOLOGÍAS MEJORADAS PARA EL MANTENIMIENTO DEL SISTEMA

Esta sección muestra las tecnologías incluidas en SP2 que ayudan al usuario a mantenerse informado sobre tecnologías de seguridad y asegurar que los sistemas tienen las actualizaciones de seguridad más actuales.

Filtro para añadir o quitar programas

Este filtro (ver Pantalla 5) permite a los usuarios visualizar las actualizaciones instaladas en la máquina sólo cuando es seleccionado, en lugar de combinarlas con los programas instalados.

 

 

Servicios de Actualización Windows y Actualizaciones Automáticas

Los servicios de actualización de Windows WUS (antes conocidos como SUS, Servicios de Actualización de Software) permiten a los administradores automatizar el despliegue de actualizaciones críticas y de seguridad a los sistemas con Windows XP Professional, Windows 2000 o Windows 2003. El programa de Actualizaciones Automáticas (ver Pantalla 6) se conecta periódicamente al sitio Web de Actualizaciones Windows en Internet o a un servidor WUS interno de la organización y según la configuración, se instalarán todas las actualizaciones automáticamente o se notificará al administrador o usuario del sistema de la existencia de actualizaciones preparadas para instalarse.

 

 

Conjunto Resultante de Políticas

El conjunto resultante de políticas (RSoP) nos informa de la configuración de políticas que se aplican a un usuario o sistema. Una consola (Resultados de Política de Grupos) pide datos RSoP a un determinado sistema y los presenta en un informe HTML. El Modelado de Política de Grupos pide la misma información a un servicio que devuelve una simulación de RSoP para una combinación de sistema y usuario.

Centro de Seguridad

El Centro de Seguridad (Pantalla 7) es un nuevo servicio del SP2 que proporciona una localización central para cambiar los parámetros de seguridad, aprender más sobre seguridad y asegurarnos que el sistema está actualizado con las opciones recomendadas por Microsoft.

 

El Centro de Seguridad chequea el estado del cortafuegos (si está activado o no), del antivirus (chequea la presencia de software antivirus y si éste está actualizado) y de las actualizaciones dinámicas (si éstas no están activadas, el Centro de Seguridad da las recomendaciones adecuadas). Si falta algún componente, el Centro de Seguridad coloca un icono rojo en la barra de tareas.

Esta característica se aplica a todos los sistemas de un grupo de trabajo y, mediante la política de grupos, los administradores pueden activar esta característica para los sistemas de un dominio.

Instalación de Paquetes

El SP2 se instala mediante el Instalador de Paquetes Windows que actualiza y cambia la instalación existente de Windows XP. Existen algunas consideraciones, como por ejemplo:

El Instalador Windows (Windows Installer 3.0) define y gestiona un formato estándar para la instalación y actualización de aplicaciones. Windows Installer 3.0 es una nueva versión incluida dentro del SP2 de Windows XP.

 

Otra característica importante de Windows Installer 3.0 es que permite a los desarrolladores de parches proporcionar instrucciones explícitas sobre el orden en el que las actualizaciones deberían ser aplicadas a los sistemas.

Windows Installer 3.0 utiliza WinHTTP para gestionar las descargas URL y como resultado de ello ya no se soportan ni FTP ni GOPHER. Se siguen soportando los protocolos HTTP, HTTPS y FILE. Y por último, el servicio de Windows Installer ya no es interactivo, se ejecuta en el contexto de seguridad de la cuenta Local del Sistema.
 

Actualización Windows

Este componente (ver Pantalla 8) ayuda a los usuarios a mantener actualizados sus sistemas en cuanto a parches y otras actualizaciones software de componentes de Windows se refiere. Con el SP2, la Actualización Windows junto con los Servicios de Actualización Windows (WUS) proporciona dos servicios:

 

Autor: Maria José Serrano y Juancho Aguilar