¿Qué es un ataque de código Shrink Wrap?

Basado estrictamente en el contexto de la presentación, parece que lo que el Consejo de la CE llama un "Ataque de código de contracción" es solo el acto de explotar los agujeros en software no parcheado o mal configurado. Para usar el término de otra manera, una "vulnerabilidad de envoltura retráctil" sería una que solo debería verse en un producto inmediatamente después de su instalación inicial, como se podría decir "recién salido de la envoltura retráctil".

La mayor parte de Internet se basa en un número relativamente pequeño de aplicaciones, marcos y sistemas operativos diferentes. Debido a que estas plataformas se comparten a través de una gran base de destino, y debido a que muchas organizaciones y / o administradores eligen ignorar el "fruto de la suspensión", este tipo de vulnerabilidades es a menudo la primera a la que recurrirá un atacante para explotar rápidamente un sistema.

Aquí hay algunas descripciones generales de lo que podría categorizarse como una "vulnerabilidad de envoltura retráctil":

• Un error de software presente en la versión original de un producto, para el cual el proveedor ha publicado una actualización pero el administrador del sistema no ha realizado la revisión.
  • Ejemplo: CVE-2012-1528 en Windows 8, si el sistema de destino no tiene la actualización KB2727528 instalada.
• Una opción de configuración predeterminada insegura aún en vigor después de que el sistema se haya puesto en producción.
  • Ejemplo: Predeterminado (especialmente cuando se conoce públicamente o se calcula fácilmente) los nombres de usuario de la cuenta & las contraseñas no se modifican.
• Debugging scripts o páginas de prueba inseguras que se incluyen con el software, que deberían haberse eliminado antes del uso de producción.
  • Ejemplo: un script "Hello World" o página dejada en su lugar, con una vulnerabilidad XSS.

Las vulnerabilidades anteriores no son, en la mayoría de los casos, muy diferentes de cualquier otra vulnerabilidad. Sin embargo, lo que los hace destacar es que son tan fáciles de reparar y realmente no son los tipos que se deben encontrar en los sistemas de producción. Estos son los tipos de vulnerabilidades que deben resolverse durante el proceso de compilación inicial del sistema o la aplicación, pero demasiados administradores de sistemas y desarrolladores por ahí los dejarán abiertos por descuido o ignorancia para que los explote todo Internet.

Del libro CEH

  

Ataques de código de encogimiento.
  Estos ataques se aprovechan de la incorporada.   El código y los scripts que vienen con la mayoría de las aplicaciones disponibles en el mercado. El viejo   Abstenerse "¿Por qué reinventar la rueda?" se usa a menudo para describir esto   tipo de ataque. ¿Por qué gastar tiempo escribiendo código para atacar algo cuando   ¿Puede comprarlo ya "envuelto en plástico"? Estos scripts y piezas de código son   Diseñado para facilitar la instalación y administración, pero puede conducir   a vulnerabilidades si no se gestiona adecuadamente.

Muchos programas estándar vienen con características adicionales que el usuario común no conoce, que pueden utilizarse para explotar el sistema. Un ejemplo son las macros en Microsoft Word, que pueden permitir a un pirata informático ejecutar programas dentro de la aplicación

No estoy de acuerdo con Iszi.

Los ataques de reducción de código de contracción son ataques en los que un atacante intenta ejecutar el código predeterminado en el software de la víctima. Este código predeterminado (de las bibliotecas y el código estándar) a menudo se remite o se coloca en una línea de comentarios. Con un script simple que elimina los caracteres REM y ' , un atacante puede intentar que se ejecute este código predeterminado (muestra).