Seguridad Derecho informático Derecho nuevas tecnologías


Derecho informático Derecho nuevas tecnologías
Seguridad Derecho informático Derecho nuevas tecnologías
 Noticias
  • Nueva vulnerabilidad crítica en Windows [11-09-03]  


    Hispasec. Cuando todavía no hemos digerido el agujero crítico del Internet Explorer, el gusano MS-Blaster todavía colapsa algunas redes, Sobig.F acaba de autodestruirse y cada vez que abrimos un documento con Word cabe la posibilidad de que entre un virus en nuestro ordenador, se anuncia una nueva vulnerabilidad crítica en todas las versiones de Windows derivadas de NT, incluidos Windows 2000, XP y 2003.

    Microsoft acaba de publicar un boletín de seguridad para informar de la existencia de diversas vulnerabilidades de seguridad en la implementación RPC de los sistemas operativos Windows (NT Workstation 4.0, NT Server 4.0, NT Server 4.0 edición servidor de terminales, Windows 2000, Windows XP y Windows Server 2003). Algunas de estas vulnerabilidades son especialmente críticas, ya que pueden ser utilizadas para la ejecución de código arbitrario en los sistemas vulnerables.

    En primer lugar conviene aclarar que, a pesar de que a primera vista pueda parecer que nos encontramos con el mismo problema anunciado hace escasamente un par de meses y de sobra conocida por ser la vulnerabilidad utilizada por el gusano MS-Blaster, en realidad son dos vulnerabilidades totalmente diferentes y que, por tanto, requiere la instalación del nuevo parche publicado por Microsoft.

    Las nuevas vulnerabilidades se encuentran en los mensajes RPC utilizados para la activación de DCOM. Utilizando la función CoGetInstanceFromFile de la API de Windows, es posible enviar el mensaje de activación de DCOM. Si se manipulan la longitud de determinados campos de este mensaje, es posible sobrescribir porciones de la memoria utilizada por la pila con código definido por el usuario. El envío de únicamente cuatro o cinco secuencias de mensajes es suficiente para provocar una excepción del sistema. En el momento que se produce la excepción, controlando los valores de los registros eax y ecx, es posible escribir un dword arbitrario que apunte a cualquier dirección de la memoria.

    Llegados a este punto, el atacante dispone de la posibilidad de ejecutar cualquier código en el ordenador de la víctima. Esto puede (o podrá) ser utilizado por futuros gusanos de distribución masiva al estilo del MS-Blaster.

    Existen diversas medidas que pueden tomarse para evitar esta vulnerabilidad, aunque sólo una de ellas es (en principio y hasta que no se demuestre lo contrario) totalmente efectiva: la instalación del nuevo parche publicado por Microsoft y que ya está disponible en Windows Update así como a través del boletín publicado por Microsoft (ver la dirección en el apartado "Más información"). Desde Hispasec recomendamos que, siempre que sea posible, se instale este parche.

    Las otras medidas no evitarán que el sistema sea vulnerable, pero si pueden evitar que un atacante remoto pueda aprovechar esta vulnerabilidad. Estas medidas adicionales pasan por el filtrado del tráfico RPC (puertos UDP 135, 137, 138 y 445 y los puertos TCP 135, 139, 445 y 593) procedente de redes en las que no confiamos, desactivar el servicio COM Internet Services, utilizar un cortafuegos personal o anular el servicio DCOM en el sistema operativo. Todas estas medidas tienen sus efectos secundarios y pueden provocar que determinados servicios o aplicaciones dejen de funcionar.

    Por último destacar que tanto Microsoft como eEye han publicado sendas herramientas que permiten identificar los equipos de la red que son vulnerables a este problema. La herramienta de Microsoft funciona directamente desde la línea de órdenes del sistema operativo, mientras que la de eEye es una aplicación Windows con un interfaz gráfico.

    Opina sobre esta noticia:
    http://www.hispasec.com/unaaldia/1781/comentar

    Más información

    Boletín de seguridad de Microsoft (MS03-039)
    Buffer Overrun In RPCSS Service Could Allow Code Execution
    http://www.microsoft.com/technet/security/bulletin/MS03-039.asp

    Microsoft RPC Heap Corruption Vulnerability (Part II)
    http://www.eeye.com/html/Research/Advisories/AD20030910.html

    Aviso del CERT (CA-2003-23)
    RPCSS Vulnerabilities in Microsoft Windows
    http://www.cert.org/advisories/CA-2003-23.html

    Microsoft Windows contains buffer overflow in RPCSS Service DCOM
    activation routine
    http://www.kb.cert.org/vuls/id/483492

    Microsoft Windows contains buffer overflow in RPCSS Service DCOM
    activation routine
    http://www.kb.cert.org/vuls/id/254236

    KB 824146 Scanner for MS03-026 and MS03-03 Patches
    http://www.microsoft.com/downloads/details.aspx?familyid=13ae421b-7bab-41a2-843b-fad838fe472e

    RPC DCOM Vulnerability Scanner and Worm Disinfection Utility
    http://www.eeye.com/html/Research/Tools/RPCDCOM.html


    Xavier Caballé
    xavi@hispasec.com



  • Noticias actuales...
    Archivo de noticias...
  •  
    Gratis Servicio de noticias
    Suscribir Borrado
    Tus Sugerencias son bienvenidas
    Pincha Aquí
    ¡¡Lista de correo!!
    Introduzca su correo: