La vulnerabilidad RPC/DCOM sigue vigente


La noticia se ha divulgado en algunos sitios y listas relacionadas con la seguridad, y reportado en BugTraq y Securityfocus por el sitio Security.nnov.ru. Según la información disponible al principio, la falla que permite el uso de este exploit, sigue totalmente vigente en Windows XP SP1, aún con todos los parches de seguridad instalados (por supuesto se refiere al último parche sobre esta falla, el emitido por Microsoft en el boletín MS03-039).





En realidad, parece tratarse de nuevas vulnerabilidades, no
cubiertas por los dos parches anteriores (MS03-026 y MS03-
039), y supuestamente desconocidas hasta el momento, pero
todas relacionadas con los mismos protocolos.

Aunque en algunos ámbitos ha creado algunas dudas, en las
últimas horas se han sumado nuevos testimonios, como el de
VigilantMinds Security Operations Center y K-OTiK Security,
también en BugTraq.

Según esta información, la falla ha sido comprobada en las
siguientes versiones del sistema operativo Windows, todas con
las últimas actualizaciones proporcionadas por Microsoft a la
fecha:

Microsoft Windows XP Professional
Microsoft Windows XP Home
Microsoft Windows 2000 Workstation

Otras versiones también podrían ser vulnerables, aunque al
momento no hay pruebas que lo atestigüen.

Por el momento, el exploit conocido solo provoca una
denegación de servicio (DoS) en los sistemas afectados, pero
podría ser modificado para producir la ejecución remota de
archivos.

Cómo en las anteriores vulnerabilidades, los ataques con este
exploit, ocurren a través de los siguientes puertos:

TCP/135
TCP/139
TCP/445
TCP/593
UDP/135
UDP/137
UDP/138
UDP/445

Normalmente, estos puertos suelen estar accesibles en
entornos conectados a una Intranet. Sin embargo, deberían
estar bloqueados por un servidor de seguridad (cortafuegos)
en aquellas máquinas conectadas a Internet.

Por ejemplo, Windows XP, posee su propio cortafuegos
incorporado, que se activa por defecto cuando se instala una
conexión a Internet usando el asistente de conexión. Sin
embargo, muchos lo deshabilitan cuando no pueden conectarse a
determinados servicios, o por no poder compartir archivos con
aplicaciones como las conocidas P2P (Peer-To-Peer).

La solución temporal es aplicar cortafuegos a toda conexión a
Internet. En el caso de computadoras hogareñas, además del
cortafuegos de Windows XP (y Server 2003), existen otras
opciones, incluso gratuitas, como ZoneAlarm, Outpost, etc.

Aunque por otra parte es importante aclarar, que esta
práctica debería aplicarse siempre, aún cuando existieran los
parches que corrigieran esta falla.

Según VigilantMinds, además del aviso previo a Microsoft (sin
respuesta al momento), se ha notificado al CERT/CC.


* Sobre RPC y DCOM

RPC (Remote Procedure Call o Llamada de Procedimiento
Remoto), es un protocolo utilizado por Windows para permitir
que un programa que se ejecuta en un equipo, pueda acceder a
los servicios de otro equipo conectado en red.

La falla ocurre en el intercambio de mensajes entre procesos
que se realiza sobre protocolos TCP/IP al utilizarse RPC, por
un desbordamiento de búfer, y afectan la interface DCOM con
RPC, que controla las solicitudes de activación de objetos de
DCOM que las máquinas clientes envían al servidor.

DCOM (Distributed Component Object Model o Modelo de Objeto
Componente Distribuido) es un protocolo que nos muestra un
conjunto de interfaces que permiten a los clientes y
servidores comunicarse entre sí. Los objetos de programa de
un cliente pueden solicitar los servicios de objetos de
programas servidores, en otras computadoras dentro de una
red. Solo es necesario que todos se estén ejecutando en
Windows 9x (95, 98 y Me) o NT (NT, 2000 y XP).

Usando una interface DCOM, un programa puede iniciar una
Llamada de Procedimiento Remoto (Remote Procedure Call o RPC)
a un objeto de otro programa especializado, que proporciona
el procesamiento necesario y devuelve el resultado.

DCOM emplea a su vez protocolos TCP/IP y HTTP, y está
incluido en las versiones posteriores a Windows 98 y NT. DCOM
escucha en el puerto 135 de TCP/UDP y en los puertos 139, 445
y 593 de TCP.

Otras noticias de interés:

WhatsApp lo hace todo mal, según los expertos
El software de mensajería instantánea favorito entre los consumidores tiene fallos. Los entendidos en nuevas tecnologías no comprenden dónde radica el éxito de un producto menos atractivo que otras propuestas del mercado y que resulta tan fácil...
Cambios necesarios en Comunidad Ubuntu Venezuela
Para todos está claro desde hace mucho tiempo que nuestra comunidad ha sufrido una caída paulatina y constante, donde personas digamos: antiguas dentro de la comunidad como de las nuevas se han retirado o apartado por motivos tan dispares como que ...
Delincuentes hace blanco contra Facebook
Spam, virus y robos de identidad proliferan en la mayor red social del mundo, aunque la eficiencia de esos ataques sigue siendo baja. La seguridad de las cuentas, atada a lo que hagan los usuarios...
Humillado Microsoft - Un grupo de desarrolladores de fuente abierta crea un parche para Microsoft
Un grupo de desarrolladores de software de fuente abierta ha publicado en su página web un parche para tapar un reciente agujero de seguridad que afecta a Internet Explorer (IE), el navegador web de Microsoft, y que permite falsificar páginas Web. ...
Formatos de archivo históricamente inofensivos
Históricamente se han considerado archivos potencialmente peligrosos para Microsoft Windows los que poseían las muchas extensiones de aplicaciones ejecutables que existen. En su código es posible ocultar cualquier acci&o...
Escalada de privilegios en Solaris a través de "utmp_update"
Se ha identificado una vulnerabilidad en Sun Solaris, que puede ser explotado por un usuario local malicioso para elevar sus privilegios en los sistemas vulnerables. ...
Múltiples vulnerabilidades en el programa LinuxNode
Se han descubierto múltilples vulnerabilidades en LinuxNode, un programa contenido en Amateur Packet Radio Node, que pueden permitir a un atacante remoto causar una denegación de servicio o ejecutar código arbitrario en el sistema afectado....
Vulnerabilidad en el kernel de Windows permite elevar privilegios
Se ha anunciado una vulnerabilidad en el kernel de Microsoft Windows (Vista y Server 2008), que podría permitir a un atacante local provocar una denegación de servicio o elevar sus prvilegios en el sistema....
Vulnerabilidad de redes preocupa a empresas
Cloud computing, virtualización o movilidad son algunos de los factores que están influyendo en la reevaluación de las estrategias de seguridad TI de las empresas. Un estudio europeo sobre los retos a los que se enfrentan las empresas en materia d...
Se confirma la alianza entre spammers y creadores de virus
La prestigiosa empresa dedicada al estudio de los correos Messagelabs ha confirmado la cada vez más estrecha relación entre spammers y creadores de virus. La compañía afirma que cada vez con más frecuencia, la creación de virus posee segundas i...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • dcom
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • rpc
  • sabayon
  • seguridad
  • sigue
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • vigente
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidad
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra