Controlado desde el
19/10/97 por NedStat
|
Advierten sobre la segunda vulnerabilidad en RPC
|
|
VSantivirus No. 1135 Año 7, Sábado 16 de agosto de 2003
Advierten sobre la segunda vulnerabilidad en RPC
http://www.vsantivirus.com/vul-rpc-ubizen.htm
Por Angela Ruiz
angela@videosoft.net.uy
Ubizen, uno de los líderes europeos como proveedor de servicios de seguridad para ambientes de negocios globales, está alertando a sus clientes sobre la segunda
vulnerabilidad
crítica en Microsoft Windows, relacionada con el servicio RPC (Remote Procedure Call). Esta advertencia sigue a la anterior sobre el Lovsan o Blaster, gusano que ha infectado cientos de miles de computadoras alrededor del mundo valiéndose de un agujero similar reportado a mediados de julio de 2003.
El Lovsan hizo su aparición el pasado lunes 11 de agosto, y su propagación llegó a récords pocas veces vistos antes. Uno de los más preocupantes efectos del gusano, es el ataque global al sitio de Microsoft programado en su código a partir de hoy sábado 16 de agosto. Esta acción impide en principio, que se puedan descargar los parches necesarios para esta falla, y para cualquier otra que pueda surgir mientras dure el ataque, al hacer que el sitio de Microsoft sea literalmente bloqueado.
Pero según informa ahora Ubizen, existe una segunda vulnerabilidad mucho más grave, que espera su momento para convertirse en la protagonista de nuevas formas de ataques.
Recordemos que esta falla ya fue anunciada por VSAntivirus el pasado 13 de agosto, en el artículo "Lo que debería saber sobre la vulnerabilidad RPC/DCOM",
http://www.vsantivirus.com/vul-rpc-dcom.htm. Allí se menciona un boletín de seguridad del propio Microsoft que habla de esta segunda falla, con fecha 6 de agosto (MS03-032), y que misteriosamente nunca fue publicado (hasta el momento de escribir esto).
El boletín, incomprensiblemente estaba aún colgado de las páginas de Microsoft España, como se muestra en la captura mostrada en dicho artículo de VSAntivirus (luego de la publicación de nuestro artículo fue quitado), pero sin enlaces desde ninguna parte del sitio. Simplemente, por alguna razón ignorada, Microsoft resolvió no publicarlo.
La segunda vulnerabilidad, que también afecta a los protocolos RPC/DCOM, apenas está descripta en dicho boletín, y solo se menciona que es capaz de provocar un ataque de denegación de servicio.
Ubizen confirma que los sistemas de Windows 2000 que han instalado el parche para la primera vulnerabilidad en el servicio RPC (publicado en julio con el boletín MS03-026), al momento actual, son vulnerables a esta segunda falla. Otras versiones de Windows no serían afectadas por la misma.
Este segundo agujero, se localiza como el primero, en la parte de RPC que se ocupa del intercambio de mensajes sobre los protocolos TCP/IP.
A través de esta falla, un atacante remoto podría hacer caer a los sistemas afectados, enviando datos especialmente modificados en forma maliciosa, al servicio RPC de Windows.
Tal ataque de denegación de servicio (DoS), podría ser apuntado manualmente por el atacante, hacia uno o más blancos específicos. Cómo referencia, digamos que el gusano Lovsan, que se aprovecha de la primera de las vulnerabilidades en RPC, se distribuye a través de Internet a otros sistemas vulnerables, y luego cada sistema busca a su vez, en forma aleatoria, otras máquinas con la misma falla expuesta.
Actualmente, existen numerosas herramientas capaces de aprovecharse de la segunda falla, las que permiten a un atacante realizar un ataque de denegación de servicio a un blanco específico que sea vulnerable.
Sin embargo, parece prácticamente imposible que se presente un gusano que utilice algún código para explotar esta vulnerabilidad, como lo hace el Blaster con la primera de las fallas.
En otras palabras, un atacante remoto no podría ejecutar comandos en los sistemas afectados, pero si podría hacerlo con un acceso local. Pero por cierto, eso no nos asegura nada, ya que la falla existe, y ello de por si, deja muchas posibilidades inexploradas aún, que comprometen la seguridad de todos los sistemas vulnerables.
Relacionados:
Ubizen
http://www.ubizen.com/
Lo que debería saber sobre la vulnerabilidad RPC/DCOM
http://www.vsantivirus.com/vul-rpc-dcom.htm
Vulnerabilidad RPC/DCOM: MS03-026
http://www.vsantivirus.com/vulms03-026-027-028.htm
W32/Lovsan.A (Blaster). Utiliza la falla en RPC
http://www.vsantivirus.com/lovsan-a.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|