|
VSantivirus No. 1192 Año 7, Domingo 12 de octubre de 2003
Confirmado: La vulnerabilidad RPC/DCOM sigue vigente
http://www.vsantivirus.com/12-10-03a.htm
Por Jose Luis Lopez
videosoft@videosoft.net.uy
Cómo anunciamos en la noticia publicada en nuestro boletín #1191 (ver "Windows XP continúa siendo vulnerable al fallo RPC/DCOM",
http://www.vsantivirus.com/10-10-03a.htm), ha sido reportado un "exploit" universal que se aprovecha de la falla en los protocolos RPC/DCOM relatada en el boletín MS03-039 (actualización del boletín MS03-026).
La noticia se ha divulgado en algunos sitios y listas relacionadas con la seguridad, y reportado en BugTraq y Securityfocus por el sitio Security.nnov.ru. Según la información disponible al principio, la falla que permite el uso de este exploit, sigue totalmente vigente en Windows XP SP1, aún con todos los parches de seguridad instalados (por supuesto se refiere al último parche sobre esta falla, el emitido por Microsoft en el boletín MS03-039).
En realidad, parece tratarse de nuevas vulnerabilidades, no cubiertas por los dos parches anteriores (MS03-026 y MS03-039), y supuestamente desconocidas hasta el momento, pero todas relacionadas con los mismos protocolos.
Aunque en algunos ámbitos ha creado algunas dudas, en las últimas horas se han sumado nuevos testimonios, como el de VigilantMinds Security Operations Center y K-OTiK Security, también en BugTraq.
Según esta información, la falla ha sido comprobada en las siguientes versiones del sistema operativo Windows, todas con las últimas actualizaciones proporcionadas por Microsoft a la fecha:
Microsoft Windows XP Professional
Microsoft Windows XP Home
Microsoft Windows 2000 Workstation
Otras versiones también podrían ser vulnerables, aunque al momento no hay pruebas que lo atestigüen.
Por el momento, el exploit conocido solo provoca una denegación de servicio (DoS) en los sistemas afectados, pero podría ser modificado para producir la ejecución remota de archivos.
Cómo en las anteriores vulnerabilidades, los ataques con este exploit, ocurren a través de los siguientes puertos:
TCP/135
TCP/139
TCP/445
TCP/593
UDP/135
UDP/137
UDP/138
UDP/445
Normalmente, estos puertos suelen estar accesibles en entornos conectados a una Intranet. Sin embargo, deberían estar bloqueados por un servidor de seguridad (cortafuegos) en aquellas máquinas conectadas a Internet.
Por ejemplo, Windows XP, posee su propio cortafuegos incorporado, que se activa por defecto cuando se instala una conexión a Internet usando el asistente de conexión. Sin embargo, muchos lo deshabilitan cuando no pueden conectarse a determinados servicios, o por no poder compartir archivos con aplicaciones como las conocidas P2P (Peer-To-Peer).
La solución temporal es aplicar cortafuegos a toda conexión a Internet. En el caso de computadoras hogareñas, además del cortafuegos de Windows XP (y Server 2003), existen otras opciones, incluso gratuitas, como ZoneAlarm, Outpost, etc.
Aunque por otra parte es importante aclarar, que esta práctica debería aplicarse siempre, aún cuando existieran los parches que corrigieran esta falla.
Según VigilantMinds, además del aviso previo a Microsoft (sin respuesta al momento), se ha notificado al CERT/CC.
Sobre RPC y DCOM
RPC (Remote Procedure Call o Llamada de Procedimiento Remoto), es un protocolo utilizado por Windows para permitir que un programa que se ejecuta en un equipo, pueda acceder a los servicios de otro equipo conectado en red.
La falla ocurre en el intercambio de mensajes entre procesos que se realiza sobre protocolos TCP/IP al utilizarse RPC, por un desbordamiento de búfer, y afectan la interface DCOM con RPC, que controla las solicitudes de activación de objetos de DCOM que las máquinas clientes envían al servidor.
DCOM (Distributed Component Object Model o Modelo de Objeto Componente Distribuido) es un protocolo que nos muestra un conjunto de interfaces que permiten a los clientes y servidores comunicarse entre sí. Los objetos de programa de un cliente pueden solicitar los servicios de objetos de programas servidores, en otras computadoras dentro de una red. Solo es necesario que todos se estén ejecutando en Windows 9x (95, 98 y Me) o NT (NT, 2000 y XP).
Usando una interface DCOM, un programa puede iniciar una Llamada de Procedimiento Remoto (Remote Procedure Call o RPC) a un objeto de otro programa especializado, que proporciona el procesamiento necesario y devuelve el resultado.
DCOM emplea a su vez protocolos TCP/IP y HTTP, y está incluido en las versiones posteriores a Windows 98 y NT. DCOM escucha en el puerto 135 de TCP/UDP y en los puertos 139, 445 y 593 de TCP.
Activar ICF en Windows XP (Internet Conexión Firewall)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red.
2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet".
4. Seleccione Aceptar, etc.
Instalar ZoneAlarm (todos los sistemas)
ZoneAlarm es un firewall (cortafuego) que detendrá y advertirá la conexión de cualquier programa no autorizado hacia Internet, así como cualquier intento de acceder a nuestro sistema por cualquier puerto no autorizado. La principal ventaja es su facilidad de configuración. En principio cierra todos los puertos, y el usuario solo debe decidir a que aplicación desea autorizar una conexión.
ZoneAlarm posee una versión personal de uso gratuito.
Para instalar y configurar ZoneAlarm, siga los pasos del siguiente artículo:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Más información:
MS03-039 Ejecución de código en servicio RPCSS (824146)
http://www.vsantivirus.com/vulms03-039.htm
Bad news on RPC DCOM vulnerability
http://www.securityfocus.com/archive/1/340937
RE: Bad news on RPC DCOM vulnerability
http://www.securityfocus.com/archive/1/341034
Re: Bad news on RPC DCOM vulnerability
http://www.securityfocus.com/archive/1/341047
[Ultima actualización: 11/oct/03 - 19:15 UTC/GMT]
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|