Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
MS09-065 no está catalogado como virus, gusano, troyano o backdoor. Se trata de un grupo de vulnerabilidades calificadas como críticas en los controladores modo kernel de Windows, en ordenadores con Windows Server 2008/Vista/2003/XP/2000, que permite ejecutar remotamente código arbitrario con los mismos privilegios que el usuario que haya iniciado la sesión y la elevación local de privilegios en el sistema vulnerable.
El kernel o núcleo es el centro del sistema operativo y proporciona los servicios básicos para todas las demás partes del sistema operativo. Win32k.sys es un controlador de dispositivo de modo kernel y es la parte de kernel del subsistema de Windows.
Las vulnerabilidades corregidas son:
- Vulnerabilidad de anulación de referencia de puntero nulo en Win32k: esta vulnerabilidad de elevación de privilegios ocurre porque el núcleo de Windows no valida correctamente un argumento pasado a un llamada del sistema.
- Vulnerabilidad de validación de datos insuficiente en Win32k: esta vulnerabilidad de elevación de privilegios ocurre porque los controladores modo kernel de Windows no validan correctamente la entrada enviada desde el modo de usuario a través del componente de kernel de GDI. La GDI (Interfaz de dispositivo gráfico) permite a las aplicaciones usar gráficos y dar formato a texto en la pantalla de vídeo y la impresora.
Estas dos vulnerabilidades permiten adquirir privilegios no autorizados en un ordenador o en una red. Por ejemplo, que un usuario sin privilegios pudiera conseguir agregarse al grupo de Administrador. En tal caso, el hacker tendría control completo del sistema: crear, modificar o borrar archivos, instalar programas, crear nuevas cuentas de usuario, etc.
Habitualmente se explotan mediante la ejecución de un programa especialmente creado en el ordenador vulnerable. Para ello, un hacker tiene que poder iniciar sesión localmente en dicho sistema. - Vulnerabilidad de análisis de OET en Win32k: esta vulnerabilidad de código remoto ocurre porque los controladores modo kernel de Windows no analizan correctamente el código de fuente al crear una tabla de entradas de directorio.
Si se explota con éxito, MS09-065 permite a los piratas informáticos conseguir control remoto del ordenador afectado, con los mismos privilegios que el usuario que haya iniciado la sesión. Si dicho usuario poseyera derechos de administrador, el hacker tendría control completo del sistema: crear, modificar o borrar archivos, instalar programas, crear nuevas cuentas de usuario, etc.
Habitualmente, esta vulnerabilidad es explotada mediante la creación de un documento Word o PowerPoint que contiene una fuente EOT especialmente diseñada incrustada y enviándolo en un mensaje de correo electrónico a un ordenador vulnerable. También puede ser explotada mediante la creación de una página web que contiene fuentes incrustadas especialmente diseñadas y convenciendo a los usuarios para que la visiten. El enlace a la página web puede ser distribuído a través de diferentes medios, como correo electrónico o mensajería instantáneo.
Si tiene un ordenador con Windows Server 2008/Vista/2003/XP/2000, es recomendable descargar e instalar el parche de seguridad para esta vulnerabilidad. Pulse aquí para acceder a la página web de descarga de este parche.
Tenga en cuenta que este parche de seguridad reemplaza a uno anterior, denominado MS09-025.