La vulnerabilidad RPC/DCOM sigue vigente


La noticia se ha divulgado en algunos sitios y listas relacionadas con la seguridad, y reportado en BugTraq y Securityfocus por el sitio Security.nnov.ru. Según la información disponible al principio, la falla que permite el uso de este exploit, sigue totalmente vigente en Windows XP SP1, aún con todos los parches de seguridad instalados (por supuesto se refiere al último parche sobre esta falla, el emitido por Microsoft en el boletín MS03-039).





En realidad, parece tratarse de nuevas vulnerabilidades, no
cubiertas por los dos parches anteriores (MS03-026 y MS03-
039), y supuestamente desconocidas hasta el momento, pero
todas relacionadas con los mismos protocolos.

Aunque en algunos ámbitos ha creado algunas dudas, en las
últimas horas se han sumado nuevos testimonios, como el de
VigilantMinds Security Operations Center y K-OTiK Security,
también en BugTraq.

Según esta información, la falla ha sido comprobada en las
siguientes versiones del sistema operativo Windows, todas con
las últimas actualizaciones proporcionadas por Microsoft a la
fecha:

Microsoft Windows XP Professional
Microsoft Windows XP Home
Microsoft Windows 2000 Workstation

Otras versiones también podrían ser vulnerables, aunque al
momento no hay pruebas que lo atestigüen.

Por el momento, el exploit conocido solo provoca una
denegación de servicio (DoS) en los sistemas afectados, pero
podría ser modificado para producir la ejecución remota de
archivos.

Cómo en las anteriores vulnerabilidades, los ataques con este
exploit, ocurren a través de los siguientes puertos:

TCP/135
TCP/139
TCP/445
TCP/593
UDP/135
UDP/137
UDP/138
UDP/445

Normalmente, estos puertos suelen estar accesibles en
entornos conectados a una Intranet. Sin embargo, deberían
estar bloqueados por un servidor de seguridad (cortafuegos)
en aquellas máquinas conectadas a Internet.

Por ejemplo, Windows XP, posee su propio cortafuegos
incorporado, que se activa por defecto cuando se instala una
conexión a Internet usando el asistente de conexión. Sin
embargo, muchos lo deshabilitan cuando no pueden conectarse a
determinados servicios, o por no poder compartir archivos con
aplicaciones como las conocidas P2P (Peer-To-Peer).

La solución temporal es aplicar cortafuegos a toda conexión a
Internet. En el caso de computadoras hogareñas, además del
cortafuegos de Windows XP (y Server 2003), existen otras
opciones, incluso gratuitas, como ZoneAlarm, Outpost, etc.

Aunque por otra parte es importante aclarar, que esta
práctica debería aplicarse siempre, aún cuando existieran los
parches que corrigieran esta falla.

Según VigilantMinds, además del aviso previo a Microsoft (sin
respuesta al momento), se ha notificado al CERT/CC.


* Sobre RPC y DCOM

RPC (Remote Procedure Call o Llamada de Procedimiento
Remoto), es un protocolo utilizado por Windows para permitir
que un programa que se ejecuta en un equipo, pueda acceder a
los servicios de otro equipo conectado en red.

La falla ocurre en el intercambio de mensajes entre procesos
que se realiza sobre protocolos TCP/IP al utilizarse RPC, por
un desbordamiento de búfer, y afectan la interface DCOM con
RPC, que controla las solicitudes de activación de objetos de
DCOM que las máquinas clientes envían al servidor.

DCOM (Distributed Component Object Model o Modelo de Objeto
Componente Distribuido) es un protocolo que nos muestra un
conjunto de interfaces que permiten a los clientes y
servidores comunicarse entre sí. Los objetos de programa de
un cliente pueden solicitar los servicios de objetos de
programas servidores, en otras computadoras dentro de una
red. Solo es necesario que todos se estén ejecutando en
Windows 9x (95, 98 y Me) o NT (NT, 2000 y XP).

Usando una interface DCOM, un programa puede iniciar una
Llamada de Procedimiento Remoto (Remote Procedure Call o RPC)
a un objeto de otro programa especializado, que proporciona
el procesamiento necesario y devuelve el resultado.

DCOM emplea a su vez protocolos TCP/IP y HTTP, y está
incluido en las versiones posteriores a Windows 98 y NT. DCOM
escucha en el puerto 135 de TCP/UDP y en los puertos 139, 445
y 593 de TCP.

Otras noticias de interés:

Microsoft informa de problemas con últimos parches
Microsoft publicó este sábado (15/abr/06), dos artículos en su base de conocimiento (Microsoft Knowledge Base), relacionados con problemas en dos de sus más recientes actualizaciones de seguridad, ambas publicadas el pasado martes 11, la MS06-013...
Actualización de seguridad para QuickTime 7.1.6
Apple QuickTime 7.1.6 fue publicado hace apenas unas semanas , pero ahora Apple publica una actualización de seguridad para dicha versión....
LinuxMint Released! 13 Maya
LinuxMint es la distribución que ha demostrado ser la alternativa perfecta para usuarios noveles o que no acaban de encontrarse cómodos con Unity, si vienen de Ubuntu o de Gnome 3, en otras distribuciones. Esta versión es LTS (Long Time Support)....
Facebook, Android e iPhone fugan datos de usuarios.
Siempre es importante saber que tan expuesta se encuentra la información que se publica en las redes sociales, o es accesible desde teléfonos móviles. Sobre todo cuando existe la posibilidad de que datos tales como correos electrónicos, números ...
Cifrado de la información soluciona la privacidad en la nube
Una de las razones más utilizadas por muchas empresas a la hora de no utilizar soluciones online, que almacenan los datos en la nube es la seguridad de los datos. El miedo a que alguien acceda a dichos datos y vea nuestra facturación, nuestras base...
Firefox 3 ya es Portable - USB
Mozilla Firefox Portable no es otra cosa que la versión portátil del excelente navegador para tenerlo siempre a mano en tu pendrive. De tal manera podrás contar con tus páginas de inicio, extensiones y plug-ins desde cualquier máquina sin necesi...
Vacaciones: el momento del ataque
Al planear un ataque contra un objetivo, una de las cosas que más importancia tienen es el cuándo se llevará a cabo. En general, grandes ataques, virus o gusanos, se han efectuado cuando las defensas del destino están más bajas (Navidades, Seman...
Nueva versión de Tuquito 2.0 Beta
Nuestros amigos tucumanos de Tuquito anunciaron la versión 2 (Beta) de su cada vez más reconocida distribución LiveCD. ...
El Open Source no es igual para todos los ojos
Las posibilidades del software libre son infinitas. Esta semana le mostraba a un amigo los primeros diseños y borradores de nuestra página web corporativa. Cuando le expliqué que se trataba de un CMS llamado Mambo, mi amigo pareció desinflarse. ...
Error de diseño y vulnerabilidad en IE7 (navcancl)
Internet Explorer 7 posee una vulnerabilidad del tipo Cross-Site-Scripting (XSS) en uno de sus recursos locales. Debido a un error de diseño del navegador, dicha vulnerabilidad podría ser utilizada por un atacante para llevar a cabo un ataque de ph...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • dcom
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • rpc
  • sabayon
  • seguridad
  • sigue
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • vigente
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidad
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra