Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Negación de servicios en Exchange 2000 OWA (MS01-049)
 
VSantivirus No. 449 - Año 5 - Domingo 30 de setiembre 2001

Vulnerabilidad: Negación de servicios en Exchange 2000 OWA (MS01-049)
Por Alejandro Germán Rodríguez (*)

Se ha detectado una nueva falla en un producto Microsoft, en este caso se encuentra afectado Exchange 2000 cuando se tiene habilitado el componente Outlook Web Access.

Por medio de esta falla se podría montar un Ataque de Negación de Servicios [DoS], para ello, un usuario malicioso debería enviar sucesivas solicitudes con una estructura de carpetas muy compleja, esto generará la utilización de grandes recursos del servidor, y si se envían sucesivas solicitudes similares se podría afectar el rendimiento de éste y eventualmente impedirle prestar servicios útiles.

El problema se produce ya que el sistema no limita cuan compleja puede ser una solicitud efectuada por parte de un usuario autenticado.

No existe posibilidad de realizar ninguna otra acción maligna que el ataque DoS aquí comentado, así, no se podrá acceder a información sensible, tomar el control del servidor, etc.

Una gran limitación para explotar esta falla con éxito esta dada en el hecho que solo usuarios autenticados y con permiso de acceso a una casilla de correo podrán efectuar el ataque.

Se puede descargar el parche desde:

www.microsoft.com/Downloads/Release.asp?ReleaseID=32431

Nota: Para instalar el correspondiente parche se debe haber previamente instalado el Service Pack 1

Más Información:

www.microsoft.com/technet/security/bulletin/MS01-049.asp

Glosario:

Outlook Web Access - Es un componente opcional de Microsoft Exchange v5.5 y 2000, que permite a los usuarios poder acceder a la bandeja de entrada mediante el uso de un navegador web.

Ataque de Negación de Servicios [DoS] - Es una clase de ataque contra servidores o computadoras conectada a Internet, mediante el envío de una gran cantidad de solicitudes de servicio, las que, eventualmente, al no poder ser respondidas o procesadas van afectando el rendimiento, a un punto tal que el sistema se vuelva muy lento o directamente dejándolo fuera de servicio.

(*) Alejandro Germán Rodríguez
Peligros_en_la_red-owner@onelist.com
http://es.egroups.com/group/Peligros_en_la_red
ICQ # 44796626


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com 		 

Copyright 1996-2001 Video Soft BBS