|
VSantivirus No. 986 - Año 7 - Jueves 20 de marzo de 2003
Maldito parche. Windows 2000 entre la espada y la pared
http://www.vsantivirus.com/20-03-03.htm
Por Jose Luis Lopez
videosoft@videosoft.net.uy
Según informa Microsoft en un agregado a su último boletín de seguridad (ver
http://www.vsantivirus.com/vulms03-007.htm), el parche recientemente liberado para una muy grave vulnerabilidad de Windows 2000 puede llegar a bloquear el sistema en el que se instale.
Esto depende de las actualizaciones descargadas anteriormente, lo que parece indicar que el nuevo parche es incompatible con otras doce actualizaciones ya existentes para dicho sistema operativo.
Si usted instala el nuevo parche sin tener en cuenta esto es posible que Windows no vuelva a arrancar.
Para saber si puede o no instalar sin problema el parche, los administradores que utilicen Windows 2000 con Service Pack 2 ya instalado, deberán examinar la versión del archivo "ntoskrnl.exe" presente en su sistema.
Para ello, ejecute el explorador de Windows y siga estos pasos:
1. Localice el directorio C:\WinNT\System32 (o la ubicación de \System32 que corresponda a su sistema).
2. Busque el archivo "ntoskrnl.exe", y haga doble clic con el botón derecho sobre él.
3. Seleccione "Propiedades"
4. Examine si la versión que aparece en la lengüeta "Versión" está entre las siguientes:
5.0.2195.4797 a 5.0.2195.4928 (inclusive).
Si se encuentra dentro de ese rango, el parche no es compatible. Esas versiones son distribuidas solo a través de las actualizaciones críticas (hotfixes) proporcionadas por el Servicio de Apoyo al Producto (Product Support Services).
La ejecución de Windows 2000 con el parche instalado en esas versiones, ocasiona que la computadora se bloquee en el primer intento de reinicio con un mensaje "Stop 0x00000071", debiendo ser recuperado con la consola de recuperación de Windows 2000, y un respaldo del archivo "ntdll.dll" almacenada en el directorio "\winnt\$NTUninstallQ815021$".
Microsoft indica que para actualizar Windows 2000 si usted está en ese rango de versiones incompatibles, primero debería ponerse en contacto con el Servicio de Apoyo al Producto. Más información disponible en esta dirección:
http://support.microsoft.com
En forma alternativa, usted puede actualizar su Windows 2000 con el Service Pack 3 (SP3), antes de instalar el mencionado parche.
A pesar de todo lo que se haya dicho, y de que sin dudas se trate de una "gran metida de pata" de Microsoft, es muy grave la falla que el parche intenta corregir como para quedarse con los brazos cruzados solo porque "es otro parche que solo causa más problemas que soluciones".
El uso de esta falla por parte de crackers, ya ha ocasionado la intervención de la justicia norteamericana. Según informa el propio responsable del Centro de Respuesta de Seguridad de Microsoft, ya existen denuncias de administradores de varios servidores corporativos que han sido literalmente "tomados" por intrusos conectándose desde Internet, gracias al fallo involucrado.
En este caso, tanto la incompatibilidad en el parche, como la situación de extremo peligro para todos los servidores que utilicen Windows 2000 (y todos los usuarios que usen el IIS 5.0 en sus computadoras), pasa por la premura conque el parche debió ser creado, y el hecho de que la vulnerabilidad y su exploit fueron hechas públicas sin avisar al fabricante, dando tiempo para atacar y afectar a muchas computadoras antes de que los responsables se dieran cuenta de lo que estaba sucediendo.
La vulnerabilidad está en la librería "ntdll.dll", utilizada por un protocolo llamado WebDAV (World Wide Web Distributed Authoring and Versioning). Consta de un conjunto de extensiones HTTP que proporcionan el estándar para editar y manejar archivos entre diferentes computadoras a través de Internet. Afecta a los sistemas que trabajan con IIS 5.0 sobre Windows 2000, aun con el Service Pack 3 instalado.
El envío de un paquete HTTP modificado para explotar la falla por parte de un atacante, puede hacer que el servidor caiga o permitir la ejecución de cualquier clase de código en el contexto de seguridad local (LocalSystem).
En el caso de no aplicar el parche (si su sistema es incompatible), debería deshabilitar a la brevedad posible el servicio vulnerable, todo el servidor IIS 5.0 (si no es un usuario corporativo) o seguir los consejos aportados por el CERT (UNAM/CERT, Equipo de Respuesta a Incidentes de la Universidad Nacional Autónoma de México), y que detallamos en
http://www.vsantivirus.com/vulms03-007.htm.
De forma alternativa, se puede deshabilitar WebDAV siguiendo las instrucciones localizadas en el Knowledge Base Article 241520, "Como deshabilitar WebDAV para IIS
5.0"
http://support.microsoft.com/default.aspx?scid=kb;en-us;241520
Relacionados:
Falla crítica en servidores Microsoft IIS 5.0 (MS03-007)
http://www.vsantivirus.com/vulms03-007.htm
Expertos dicen: la falla en Windows 2000 es muy grave
http://www.vsantivirus.com/26-03-03a.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|