Fuente: SearchSecurity.com

VANCOUVER, BC – Dos investigadores de seguridad del gigante de los motores de búsqueda Google han descubierto 20 fallos del kernel, de los cuales aproximadamente la mitad permanece sin parches, que han afectado a Windows, Linux y el popular software de virtualización VMware en los últimos años.

Los ingenieros de Google, Julien Tinnes y Tavis Ormandy dijeron que la seguridad del kernel debe mejorar. Ellos compartieron sus investigaciones de seguridad del kernel recientemente en la conferencia CanSecWest Applied Security Conference. Ellos dicen que esperan que sus datos motiven a los desarrolladores de sistemas operativos a reducir la superficie de ataque del kernel.

El kernel es la base de código subyacente de un sistema operativo donde se manejan los procesos, los recursos y la asignación de memoria. Mientras que los ataques contra las fallas del kernel son pocos en número, ya que requieren de un nivel superior de sofisticación para su ejecución, éstos pueden ser graves ya que un ataque exitoso podría dar a los ciberdelincuentes acceso completo a un sistema y todos sus recursos.

“La complejidad del kernel hace que los errores lógicos sean más diversos e interesantes”, dijo Tinnes. “Puede ser más complejo, pero es mucho más interesante porque se puede hacer lo que quieras.”

Los errores del Kernel de Linux son más numerosos pero menos atacados, ya que el sistema operativo tiene menos usuarios y por lo tanto atacarlo es menos lucrativo para los cibercriminales. Pero las fallas del kernel basadas en Windows están creciendo, según los investigadores, con seis errores remotamente ejecutables descubiertos en los últimos siete años. Los atacantes pueden usar los navegadores Web y los controladores de vídeo como puntos de entrada al kernel.

Si bien los investigadores no pudieron proporcionar detalles específicos de todas las vulnerabilidades – la mitad de ellos no se ha parchado – Tinnes dijo que varios errores de corrupción de memoria se encuentran en el kernel de Linux, así como hasta seis desbordamientos de búfer clásicos y una serie de referencias a punteros nulos, que es código con errores que apunta a datos almacenados en la memoria de una máquina. Lograr que parchen los errores ha sido difícil hasta hace poco, Tinnes dijo. Durante cierto tiempo, todas las versiones principales de Linux (2,4 y 2,6) fueron emitidas con un kernel vulnerable, dijo.

“Los desarrolladores del kernel de Linux no entendían las consecuencias de seguridad”, dijo Tinnes. “Ahora la gente comprende que es un problema”.

Ormandy se enfocó en Windows Server 2003, donde una excepción de falta de página se produce cuando el código tiene privilegios insuficientes para acceder a una página. Los investigadores fueron capaces de explotar el fallo para obtener acceso al kernel de máquinas huésped (guest) de VMware.

“Encontramos una manera de provocar que VMware fijara el bit de supervisor para los errores de página de usuario,” dijo Ormandy.

Las técnicas que reducen la superficie de ataque son cada vez mejores. Ejecutables de ruta confiable, una configuración del kernel de Linux que limita el número de ejecutables que se pueden ejecutar para mitigar la amenaza de ejecución de código malicioso en el kernel, está ganando popularidad en la plataforma Windows. “Sandboxing” de aplicación, que limita el número de procesos que una aplicación puede ejecutar, también reduce la superficie de ataque.

“La superficie de ataque es cada vez más fácil de alcanzar de forma remota”, dijo Tinnes. “Va desde algo muy fácil hasta cosas muy difíciles. Es difícil deshacerse de la superficie de ataque del kernel. Incluso si se utiliza “sandboxing”, lo cual hizo Microsoft con Office y lo hicimos nosotros con Chrome”.