Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PRESENTADO POR:
CARTAGENA-COLOMBIA
FEBRERO 2020
GESTIÓN DE LA SEGURIDAD INFORMÁTICA
Taller de Vulnerabilidades de Seguridad
Febrero de 2020
Se ha detectado un buffer overflow en una aplicación de ofimática que no utiliza ningún servicio de
red. El buffer overflow se da cuando la aplicación intenta abrir un archivo con un path muy largo. Esta
aplicación es principalmente utilizada en los computadores de las oficinas de atención al cliente de
varias sucursales bancarias. Para acceder a la aplicación, una vez se ha iniciado la sesión en el
computador, no hay que hacer ningún login.
El buffer overflow permite a cualquier usuario la ejecución de código arbitrario con permisos de
administrador o root. La vulnerabilidad afecta a la primera versión de la aplicación que se calcula que
todavía utilizan aproximadamente un 10% de los usuarios.
Esta vulnerabilidad tiene asignado un código CVE. De todos modos, no hay ningún exploit disponible
que permita explotarla de forma directa, pero sí que hay scripts que permiten demostrar parcialmente
su existencia. La compañía responsable de la aplicación ha reconocido la existencia de la
vulnerabilidad y las actualizaciones posteriores de la aplicación ya la tienen resuelta.
Para el cálculo del nivel de severidad (score) de las vulnerabilidades existe un sistema llamado
CVSS-SIG el cual permite evaluar mediante unas métricas las vulnerabilidades de forma
estandarizada. Estas métricas están detalladas en la Guía CVSSv2 que pueden encontrar en la URL
https://www.first.org/cvss/v2/guide. Deben consultar esta guía y responder las siguientes preguntas:
a) Pregunta 1: Decir cuáles de las siguientes afirmaciones son ciertas y cuáles son falsas. Es
necesario que se justifique cada respuesta.
5) Las métricas de impacto dentro de la métrica de entorno evalúan el riesgo potencial que la pérdida
de confidencialidad, integridad o disponibilidad del sistema provocaría, no el riesgo causado por una
vulnerabilidad determinada.
b) Pregunta 2: Para la vulnerabilidad descrita anteriormente, se pide calcular el score CVSSv2. Por
lo tanto, deben detallar las tres métricas, justificar cada parámetro y calcular los scores
correspondientes utilizando las fórmulas que se detallan en la guía CVSSv2. Pueden usar alguna
calculadora CVSSv2, como por ejemplo la que encuentran en NVD en el siguiente enlace:
https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator
SOLUCIÓN.
Métricas Base
Métricas de Explotabilidad
Métricas de Impacto
o Explotabilidad (E)
(E): POC
La calificación de la explotabilidad es “POC” porque no hay ningún
exploit disponible que permita explotarla de forma directa, sin
embargo, existe un script que permite corroborar su existencia.