Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
¿Infectados a pesar de tener el parche para RPC/DCOM?
 
VSantivirus No. 1137 Año 7, Lunes 18 de agosto de 2003

 ¿Infectados a pesar de tener el parche para RPC/DCOM?
http://www.vsantivirus.com/ar18-08-03.htm

Por Angela Ruiz
angela@videosoft.net.uy


En ocasiones, la instalación del parche para la vulnerabilidad RPC/DCOM (boletín de Microsoft MS03-026), parece no impedir la infección con el gusano Lovsan. Sin embargo, aunque hemos recibido varios informes de diferentes usuarios al respecto, nunca pudimos comprobarlo en nuestras pruebas.

Ahora, una reciente noticia parece confirmar la existencia de una falla en Windows Update, la herramienta en línea que permite a los usuarios actualizar su sistema operativo con nuevos parches y soluciones.

Esta falla puede permitir que el gusano Lovsan, también conocido como Blaster, infecte computadoras que aparentemente ya tienen instalado el parche correspondiente para evitarlo, según un experto en seguridad.

El error fue descubierto por Russ Cooper, de la compañía de seguridad TruSecure, cuando investigaba la información sobre un servidor del ejército norteamericano, que junto con otros, fueron víctimas del gusano a pesar del parche.

Windows Update agrega una entrada al registro cada vez que se instala una actualización. Cuando el usuario se conecta al sitio de actualizaciones, se escanea el registro para construir una lista de los parches que no han sido instalados. Según Cooper este mecanismo falla.

"Hemos encontrado que mucha gente tiene en el registro de su Windows, la clave que indica la instalación del parche, pero no el parche propiamente dicho", afirma Cooper. Explica además, que este error puede darse por varias razones, las que van desde una instalación incompleta, hasta la falta de recursos en el sistema.

"Si usted se conecta al sitio de Microsoft y le sale el aviso de que ya está actualizado, aunque no sea verdad, ¿que se supone que haría cualquier persona?", explica el experto.

Para solucionar el problema, Windows Update debería buscar el verdadero parche, antes que la clave mencionada en el registro, argumenta Cooper, quién además explica que esta característica está incluida en la herramienta de actualización, pero no se encuentra activada completamente.

Microsoft no ha respondido oficialmente a los comentarios de Cooper.

Una recomendación del experto, es ejecutar la herramienta "Microsoft Baseline Security Analyzer (MBSA)" . Para Cooper, esto puede ser una alternativa a Windows Update para examinar si el parche está correctamente instalado o no. MBSA también está diseñada para buscar problemas de seguridad en el registro de Windows, y puede ser descargada gratuitamente del sitio de Microsoft.

Pero lamentablemente, esta herramienta está preparada únicamente para sistemas operativos en inglés.

Nuestra sugerencia, es instalar manualmente los parches, descargados desde los enlaces que se dan en las referencias al final de éste artículo, y no desde el sitio de "Windows Update".

Además, recalcamos la importancia de tener activo en todo momento, un cortafuegos. Puede encontrar más información sobre esto, en los artículos que se indican a continuación.


Referencias:

Preguntas frecuentes sobre el Lovsan (Blaster)
http://www.vsantivirus.com/faq-lovsan.htm

Lo que debería saber sobre la vulnerabilidad RPC/DCOM
http://www.vsantivirus.com/vul-rpc-dcom.htm

W32/Lovsan.A (Blaster). Utiliza la falla en RPC
http://www.vsantivirus.com/lovsan-a.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS