Controlado desde el
19/10/97 por NedStat
|
Nuevas fallas podrían hacer surgir un nuevo Blaster
|
|
VSantivirus No. 1161 Año 7, Jueves 11 de setiembre de 2003
Nuevas fallas podrían hacer surgir un nuevo Blaster
http://www.vsantivirus.com/11-09-03.htm
Por Jose Luis Lopez
videosoft@videosoft.net.uy
Hace un mes, mencionábamos la existencia de una segunda vulnerabilidad en los protocolos RPC que hicieron posible la aparición de gusanos como el Blaster o Lovsan, y de un "misterioso" boletín de Microsoft que nunca fue publicado. (Ver "Lo que debería saber sobre la vulnerabilidad RPC/DCOM",
http://www.vsantivirus.com/vul-rpc-dcom.htm).
Ahora, Microsoft ha liberado un nuevo parche, por medio de su boletín MS03-039, el cuál sustituye al MS03-026, y que justamente incluye la solución para aquella mencionada "segunda vulnerabilidad". Esta consta a su vez de tres nuevas fallas.
Las mismas, son consideradas "críticas", ya que pueden ser utilizadas por un atacante remoto para tomar el control de los sistemas vulnerables, en este caso Windows NT, 2000, XP y Server 2003.
También habilitan la aparición de nuevos virus o gusanos que puedan aprovecharse de la misma, como el Blaster lo hizo en su momento de la anterior. Tampoco se niega la posibilidad de que en pocos días haga su aparición una versión modificada de éste, algo así como un Blaster 2.
Cómo dijimos, este agujero de seguridad, es muy similar a la vulnerabilidad descripta en el boletín MS03-026. El código que explotaba aquella falla apareció en Internet a los pocos días de haberse publicado el parche, y junto con el exploit, hizo su aparición el gusano Blaster (llamado también Lovsan).
Blaster infectó inmediatamente (y aún lo sigue haciendo), a cientos de miles de computadoras en el mundo entero, a pesar de que ya existía el parche, que evidentemente no había sido instalado en las máquinas infectadas.
Las tres nuevas vulnerabilidades afectan también la interface DCOM (Distributed Component Object Model), del componente RPCSS, el servicio de los protocolos RPC.
RPC (Remote Procedure Call o Llamada de Procedimiento Remoto), es un protocolo utilizado por Windows para permitir que un programa que se ejecuta en un equipo, pueda acceder a los servicios de otro equipo conectado en red.
DCOM (Distributed Component Object Model o Modelo de Objeto Componente Distribuido) es un protocolo que nos muestra un conjunto de interfaces que permiten a los clientes y servidores comunicarse entre sí. Los objetos de programa de un cliente pueden solicitar los servicios de objetos de programas servidores, en otras computadoras dentro de una red. Solo es necesario que todos se estén ejecutando en Windows 9x (95, 98 y Me) o NT (NT, 2000 y XP).
Usando una interface DCOM, un programa puede iniciar una Llamada de Procedimiento Remoto (Remote Procedure Call o RPC) a un objeto de otro programa especializado, que proporciona el procesamiento necesario y devuelve el resultado.
DCOM emplea a su vez protocolos TCP/IP y HTTP, y está incluido en las versiones posteriores a Windows 98 y NT. DCOM escucha en el puerto 135 de TCP/UDP y en los puertos 139, 445 y 593 de TCP.
Microsoft advierte que todos los sistemas operativos soportados, menos Windows Me, son afectados. Debemos recordar que actualmente ni Windows 95, ni 98, ni 98 SE son soportados por la compañía, aunque en este caso, esos sistemas tampoco son vulnerables.
Un atacante malicioso, puede explotar esta falla creando un programa que envíe mensajes RPC incorrectamente formados, al servicio RPCSS de una máquina vulnerable. Estos mensajes pueden provocar un desbordamiento de búfer que habilita a un atacante ejecutar su propio código en la máquina atacada.
El nuevo parche, además de suplantar las actualizaciones de la primera vulnerabilidad en el búfer de RPC, también soluciona las nuevas fallas en este protocolo, por lo que se recomienda instalar solo este último parche. Los usuarios que ya han instalado el anterior, deberán también instalar este nuevo.
Para prevenir que vuelva a ocurrir lo de hace un mes, ahora con las nuevas vulnerabilidades en el protocolo RPC, Microsoft recomienda que los usuarios utilicen un cortafuegos para bloquear el acceso a puertos de comunicaciones no utilizados normalmente, como los que posibilitaron la propagación del Blaster.
El nuevo parche también está disponible con la actualización automática de Windows XP, y otros sistemas vulnerables, siendo esta opción la recomendada para el usuario doméstico.
Las nuevas vulnerabilidades fueron descubiertas por la compañía, así como también por expertos independientes como los de eEye Digital Security, y son el resultado de un pormenorizado examen del código usado para manejar los protocolos RPC, realizado después del descubrimiento de la primera falla en los protocolos RPC/DCOM.
Posiblemente, esas pruebas exhaustivas motivaron la no salida del boletín misterioso, mencionado al comienzo.
Por el momento, Microsoft desconoce la existencia de alguna clase de ataque que se valga de estas nuevas vulnerabilidades.
Es posible que el Blaster, o nuevas variantes, surjan con las modificaciones necesarias para sacar provecho de estas nuevas fallas. Al menos dos de éstas permiten la ejecución de código, y tomar el control de la computadora vulnerable. La tercera puede bloquear al sistema operativo.
Se recomienda la actualización inmediata de los equipos vulnerables que corran Windows XP, NT, 2000 o Server 2003.
Más información y descarga de parches:
MS03-039 Ejecución de código en servicio RPCSS (824146)
http://www.vsantivirus.com/vulms03-039.htm
Relacionados:
Circula nueva herramienta de ataque contra Windows
http://www.vsantivirus.com/ev17-09-03.htm
Lo que debería saber sobre la vulnerabilidad RPC/DCOM
http://www.vsantivirus.com/vul-rpc-dcom.htm
Preguntas frecuentes sobre el Lovsan (Blaster)
http://www.vsantivirus.com/faq-lovsan.htm
Lovsan, Blaster o MSBlast. Una pesadilla anunciada
http://www.vsantivirus.com/ev12-08-03.htm
Actualizaciones: 19/set/03
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|