Ocultamiento de información en firewall de Windows XP


Una debilidad ha sido identificada en Microsoft Windows, la cuál podría se explotada por usuarios locales para esconder cierta información.





Microsoft publicó al respecto un aviso de seguridad
identificado como Microsoft Security Advisory 897663.

Este fallo, se debe a un error en la manera en que la
interfase del firewall de Windows, maneja ciertas entradas
malformadas en el registro de Windows, lo cuál podría ser
explotado por un atacante o por un gusano o virus informático
cuando el sistema ya haya sido comprometido, creando una
entrada en las excepciones del cortafuego (Windows XP SP2),
de tal modo que las mismas no serían mostradas en la
interfase gráfica del usuario.

En el aviso, Microsoft aclara que aunque la interfase gráfica
puede ocultar a la vista del usuario estas excepciones, en
cambio sí las puede mostrar la herramienta de administración
de línea de comandos del firewall (Netsh).

De todos modos, no se trata específicamente de una
vulnerabilidad, ya que se requieren privilegios
administrativos para acceder a la sección asociada del
registro de Windows que contiene la información de
configuración.

Utilizando los métodos documentados para manejar y crear las
excepciones del cortafuegos de Windows, es muy improbable que
una entrada malformada pueda ser creada. Sin embargo, un
atacante que ya haya comprometido el sistema, podría crear
estas entradas para confundir al usuario y dificultar la
detección y limpieza manual de algún código malicioso.

Microsoft publicó un parche (de descarga manual), que
próximamente será agregado a las actualizaciones automáticas.
Mientras tanto, recomienda el siguiente método si se tienen
dudas para examinar las excepciones activadas.

1. En Windows XP SP2, desde Inicio, Ejecutar escriba CMD más Enter.

2. Teclee la siguiente línea (más Enter):

netsh firewall show state verbose = ENABLE

3. En el extenso listado, busque el siguiente título (casi al final):

Puertos actualmente abiertos en todas las interfaces de red:

4. En la lista, aparecerán los puertos y programas que no son
bloqueados. Esto incluiría los posibles programas o puertos
que están asignados a una excepción (o sea, que no son
bloqueados por el cortafuegos). Una salida como la siguiente,
puede considerarse como normal, siempre que se refieran a una
red local como en este caso (Ámbito: LocalSubNet):

Puerto Protocolo Versión Programa
----------------------------------
137 UDP IPv4 (null)
Ámbito: LocalSubNet
139 TCP IPv4 (null)
Ámbito: LocalSubNet
138 UDP IPv4 (null)
Ámbito: LocalSubNet
445 TCP IPv4 (null)
Ámbito: LocalSubNet


* Software afectado:

- Microsoft Windows XP Service Pack 2
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows Server 2003 Service Pack 1
- Microsoft Windows Server 2003 SP1 para Itanium
- Microsoft Windows Server 2003 x64 Edition


* Solución:

Aplicar el siguiente parche:

[Nota: el enlace aparece truncado por superar la cantidad de
caracteres permitidos en el formato de este boletín. El mismo
se debe cortar y pegar todo en una sola línea]

Actualización para Windows XP (KB897663)
http://www.microsoft.com/downloads/details.aspx?familyid=478FD24B-B2C4-4207-B1B9-1C988698C888&displaylang=es

Esta actualización garantiza que las excepciones del firewall
creadas a través del registro se muestren correctamente en la
interfase del cortafuegos.

Nota: La actualización está disponible solo para usuarios de
Microsoft Windows auténtico.

También utilizar otro cortafuegos (recomendamos ZoneAlarm),
es una sugerencia válida.


* Referencias:

Microsoft Security Advisory (897663) Windows Firewall Exception May Not Display in the User Interface
http://www.microsoft.com/technet/security/advisory/897663.mspx

Microsoft Windows Firewall User Interface Exception Handling Issue
http://www.frsirt.com/english/advisories/2005/1595

Fuente:
Por Angela Ruiz
.vsantivirus.com



Otras noticias de interés:

openSUSE 11.3 llegó!
La nueva versión openSUSE 11.3 tiene soporte para 32-bit y 64-bits, trae nuevas características y actualizaciones incluidas SpiderOak para sincronizar sus archivos a través de Internet, Rosegarden para la edición libre de tus archivos de audio, l...
Adobe solucionará un fallo en Reader descubierto la semana pasada
La próxima semana Adobe solucionará una vulnerabilidad en Reader que permite la ejecución remota de código....
El ataque chop-chop a TKIP
A finales del año pasado saltó a la palestra un ataque realizado en una de esas famosas conferencias dónde los investigadores sorprenden al mundo con sus últimos descubrimientos. El trabajo presentado se llamaba “Gone in 900 Seconds, Some Crypt...
Ley SOPA, una amenaza para la libertad
Desde hace algún tiempo se ha hablado de lo perjudicial que podría ser para Internet la aprobación de esta Ley....
El IEEE estandariza el Wifi en itinerancia
El estándar 802.11r permite a los dispositivos Wifi cambiar de un punto de acceso a otro y mejora el rendimiento de la VoIP....
Nueva vulnerabilidad encontrada en Mac OS X 10.6 - Snow Leopard -
A pesar que los sistemas operativos desarrollados por Apple tienen un elevado índice de fiabilidad, un investigador de seguridad, Maksymilian Arciemowicz, ha desvelado un código que muestra una vulnerabilidad en Mac OS X 10.6....
Proteger su información financiera
Las compras por Internet son una realidad hoy en día para muchas personas. Adquirir la despensa, los regalos y pagar las cuentas en línea se ha convertido en una forma de ahorrar tiempo y recursos para mucha gente alrededor del mundo, destacó Tome...
Concurso para mejorar el software OpenWRT
La propuesta para crear un desarrolllo aún mejor para los routers que dan soporte al software OpenWRT permitirá al ganador de este concurso hacerse con 160.000 dólares y contribuir a estas soluciones, cada vez más potentes tanto visualmente como ...
Unión Europa pide a Google aplazamiento en cambios de privacidad
La Unión Europea solicitó a Google aplazar sus cambios en sus políticas de privacidad, que entrarán en efecto el 1 de marzo, para poder investigar las modificaciones a fondo con un poco más de tiempo....
Publicación del número 61 de "Phrack"
Acaba de publicarse el número 61 del conocido E-Zine Phrack. Phrack, que cuenta ya con más de 16 años de historia, se centra en los campos de exploits y nuevas tecnologías de hacking, fundamentalmente en entornos informáticos. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • firewall
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informacion
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • ocultamiento
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra