Windows NT 4.0
Windows 2000
Windows XP
Windows Server 2003

No son afectados los siguientes productos:

Windows Millennium (Windows Me)
Windows 98 Second Edition (SE)
Windows 98
Windows 95

IMPORTANTE: salvo Windows Me, los demás productos ya no tienen soporte de Microsoft.

Este parche REEMPLAZA al incluido en el boletín de seguridad MS03-026, el cuál incluye la vulnerabilidad RPC, así como 3 vulnerabilidades recientemente descubiertas, por lo que ésta actualización está catalogada como CRITICA.

RPC (Remote Procedure Call o Llamada de Procedimiento Remoto), es un protocolo utilizado por Windows, que proporciona un mecanismo de comunicación entre procesos internos, y que permite que un programa ejecutándose en una computadora pueda acceder a los servicios de otra, de manera transparente para el usuario. El propio protocolo se deriva del protocolo RPC del Open Software Foundation (OSF), pero con los adicionales de algunas de las extensiones específicas de Microsoft.

Existen tres vulnerabilidades recientemente identificadas, en el manejo de los mensajes RPC del servicio RPCSS, usados para la activación del DCOM, dos de las cuales podrían permitir la ejecución de un código arbitrario, y la tercera provocar una denegación de servicio. Las fallas son el resultado del manejo incorrecto de mensajes malformados. Estas vulnerabilidades afectan particularmente a la interface DCOM con RPC, que controla las solicitudes de activación de objetos de DCOM que las máquinas en red se envían de una a otra.

DCOM (Distributed Component Object Model o Modelo de Objeto Componente Distribuido) es un protocolo que nos muestra un conjunto de interfaces que permiten a los clientes y servidores comunicarse entre sí. Los objetos de programa de un cliente pueden solicitar los servicios de objetos de programas servidores, en otras computadoras dentro de una red. Solo es necesario que todos se estén ejecutando en Windows 9x (95, 98 y Me) o NT (NT, 2000 y XP).

Usando una interface DCOM, un programa puede iniciar una Llamada de Procedimiento Remoto (Remote Procedure Call o RPC) a un objeto de otro programa especializado, que proporciona el procesamiento necesario y devuelve el resultado.

DCOM emplea a su vez protocolos TCP/IP y HTTP, y está incluido en las versiones posteriores a Windows 98 y NT. DCOM escucha en el puerto 135 de TCP/UDP y en los puertos 139, 445 y 593 de TCP.

Un atacante que tenga éxito en aprovecharse de estas vulnerabilidades, podría ejecutar un código capaz de tener todos los privilegios del sistema local de un sistema afectado, o podría causar que el servicio RPCSS falle (Remote Procedure Call Service, o servicio del subsistema RPC).

El atacante lograría con ello obtener el poder para instalar programas, visualizar o modificar archivos, y borrar datos, creando con ello nuevas cuentas con privilegios totales. En pocas palabras, podría tomar el control total del sistema.

Para aprovecharse de estas vulnerabilidades, el atacante tendría que crear un programa que le permita enviar un mensaje de RPC modificado maliciosamente, a un sistema cuyo servicio RPCSS sea vulnerable.

Esta vulnerabilidad tiene algunos factores que mitigan su peligrosidad:

1. Usar un cortafuegos puede ayudar a proteger las redes de ataques remotos que se originan fuera del perímetro de la empresa.

2. Bloquear todos los puertos que realmente no estén usándose. La mayoría de los sistemas conectados a Internet deberían tener un número mínimo de puertos afectados a la red. Para más información sobre los puertos usados por el RPC, visite el siguiente sitio Web donde hay un listado de todos los puertos asignados a TCP y UDP por Windows: http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/tcpip/part4/tcpappc.mspx.

Valoraciones de Seguridad:

Este cuadro está basado en los tipos de sistemas operativos afectados, y el efecto que éstas vulnerabilidades tendrían en los mismos.

Desbordamiento de búfer:

Windows NT Workstation 4.0 (crítica)
Windows NT Server 4.0 (crítica)
Windows NT Server 4.0, Terminal Server Edition (crítica)
Windows 2000 (crítica)
Windows XP (crítica)
Windows Server 2003 (crítica)

Denegación de servicio:

Windows NT Workstation 4.0 (no)
Windows NT Server 4.0 (no)
Windows NT Server 4.0, Terminal Server Edition (no)
Windows 2000 (importante)
Windows XP (no)
Windows Server 2003 (no)

Gravedad acumulada de todas las vulnerabilidades:

Windows NT Workstation 4.0 (crítica)
Windows NT Server 4.0 (crítica)
Windows NT Server 4.0, Terminal Server Edition (crítica)
Windows 2000 (crítica)
Windows XP (crítica)
Windows Server 2003 (crítica)

Parches:

IMPORTANTE

13/abr/04 - Han sido suplantados por los de la actualización MS04-012:

MS04-012 Parche acumulativo para RPC/DCOM (828741)
http://www.vsantivirus.com/vulms04-012.htm

13/oct/04 - En Windows NT 4.0, este parche ha sido sustituido por el siguiente:

MS04-029 Vulnerabilidad en RPC Runtime Library (873350)
http://www.vsantivirus.com/vulms04-029.htm



Más información:

Microsoft Security Bulletin MS03-039
http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx
http://www.microsoft.com/security/security_bulletins/ms03-039.mspx

Microsoft Knowledge Base Article - 824146
http://support.microsoft.com/?kbid=824146


Relacionados:

Lo que debería saber sobre la vulnerabilidad RPC/DCOM
http://www.vsantivirus.com/vul-rpc-dcom.htm


Actualizaciones:

14/abr/04 - Enlace a actualización MS04-012



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com