Cómo defenderse contra CVE-2015-1769: un problema lógico que se puede explotar a través de una USB maliciosa
por swiat
El día de hoy, Microsoft lanzó la actualización MS15-085 para CVE-2015-1769, un importante problema de seguridad severo de Mount Manager. Afecta las versiones tanto de cliente, como de servidor, de Windows Vista a Windows 10.
El objetivo de este post de nuestro blog es informar sobre la guía de detección para que los protectores detecten los intentos por explotar este problema.
Guía de detección
Como parte de la actualización, estamos incluyendo una bitácora de eventos para ayudar a los protectores a detectar intentos de uso de esta vulnerabilidad en sus sistemas. La bitácora de eventos se active cada vez que se monta en el Sistema una USB maliciosa que usa esta vulnerabilidad. Si se llega a registrar este evento, significa que se ha bloqueado un intento por explotar la vulnerabilidad. Así que una vez que se instala la actualización, las compañías que auditan las bitácoras de eventos podrán usarlas como mecanismo de detección.
Estos eventos se registran bajo el canal “System” (Sistema) y se reportan como error.
Figura 1: Evento registrado bajo “System” con MountMgr como origen
Nota: Se pueden registrar múltiples eventos para un solo intento de explotación.
Figura 2: Detalles del evento con la ID de CVE
Después de instalar la actualización, los intentos de explotación darán como resultado un Evento (ID:100) generado, con MountMgr o Microsoft-Windows-MountMgr como origen. El CVE asociado con esta vulnerabilidad también quedará registrado como referencia. Recuerde que este código de error también se puede registrar bajo otras circunstancias menos comunes. Así pues, aunque hay pocas probabilidades que se genere esta bitácora de eventos en escenarios no maliciosos, es muy probable la causa del evento sea un intento de explotación.
- Axel Souchet, Vishal Chauhan del Equipo de Vulnerabilidades y Mitigaciones de MSRC