|
VSantivirus No. 1121 Año 7, Sábado 2 de agosto de 2003
El CERT advierte sobre inminentes ataques
http://www.vsantivirus.com/cert-ca-2003-19.htm
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
El CERT Coordination Center de la Carnegie Mellon University, ha publicado una advertencia sobre la explotación de conocidas vulnerabilidades en la interface RPC (Remote Procedure Call) de Microsoft.
Estas vulnerabilidades afectan a las siguientes versiones de Windows:
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Según el CERT, existen reportes que intrusos están actualmente escaneando y explotando una vulnerabilidad en la interface RPC DCOM de Microsoft descrita como crítica en el boletín MS03-026 de Microsoft
http://www.vsantivirus.com/vulms03-026-027-028.htm).
Ya han sido hechos públicos, múltiples exploits para esta vulnerabilidad, y actualmente se están desarrollando herramientas de exploits automatizadas mejoradas para aprovecharse de esta vulnerabilidad.
Los exploits conocidos tienen como blanco el puerto TCP/135, y abren un puerta trasera con un shell de comandos de privilegios elevados en los servidores comprometidos.
Algunas versiones de estos exploits utilizan el puerto TCP/4444, y otras un número de puerto especificado por el intruso que ejecute el exploit.
El CERT también ha recibido reportes de actividad de escaneo a otros puertos usados para accesos backdoor. En algunos casos, debido a la finalización del servicio RCP, un sistema vulnerable podría llegar a reiniciarse después de ser accedido por un intruso.
Aparentemente existe otra vulnerabilidad de negación de servicio adicional a la de la interface RPC de Microsoft que también esta siendo atacada. En base a la información obtenida actualmente, se cree que esta vulnerabilidad del tipo DoS, es independiente de la vulnerabilidad mencionada en el boletín MS03-026 de Microsoft.
El CERT está trabajando en la forma de entender este nuevo problema, a los efectos de implementar las estrategias de protección necesarias. El código de exploit para esta segunda vulnerabilidad, también ha sido liberado públicamente y tiene como objetivo principal el puerto TCP/135.
En ambos casos, una sesión TCP al puerto 135 es utilizada para efectuar el ataque. Sin embargo, el acceso a los puertos 139 y 445 podrían también ser fuentes de ataques y deberían ser considerados cuando se apliquen estrategias de protección.
Un intruso podría explotar en forma remota estas vulnerabilidades para ejecutar código arbitrario con privilegios de la cuenta de sistema local, o causar una condición de negación de servicio.
La solución es aplicar las actualizaciones mencionadas en el boletín de seguridad MS03-026 de Microsoft, lo antes posible. Estas actualizaciones también están disponibles mediante el servicio Windows Update de Microsoft.
Los sistemas que se ejecutan en Windows 2000 podrían permanecer vulnerables al ataque de negación de servicio, si el servicio de RPC DCOM está disponible a través de la red. Por ello se recomienda a los administradores de sitios aplicar las recomendaciones de filtrado de paquetes mencionadas a continuación, además de aplicar las actualizaciones proporcionadas en el mencionado boletín de Microsoft.
Filtrar el Tráfico de Red
El CERT recomienda a los administradores de sitios bloquear el acceso a la red para el servicio RPC en los límites de la red. Esto puede minimizar el potencial de los ataques de negación de servicio originados desde fuera del perímetro. Los servicios específicos que deberían ser bloqueados incluyen:
135/TCP
135/UDP
139/TCP
139/UDP
445/TCP
445/UDP
Si el acceso no puede ser bloqueado para todos los servidores externos, el CERT recomienda limitar el acceso solo a aquellos servidores que lo requieran para su operación normal. Como regla general, CERT recomienda filtrar todos los tipos de tráfico de red que no se requieran para operación normal.
Debido a que los exploits actuales para esta vulnerabilidad crean una puerta trasera, que en algunos casos es instalada en el puerto TCP/4444, el bloqueo de las sesiones TCP en los puertos en los cuales los servicios no son legítimos podría limitar el acceso de los intrusos a los servidores comprometidos.
Referencias:
CERT Advisory CA-2003-19
Exploitation of Vulnerabilities in Microsoft RPC Interface
http://www.cert.org/advisories/CA-2003-19.html
Vulnerabilidad RPC/DCOM: MS03-026
http://www.vsantivirus.com/vulms03-026-027-028.htm
Ayudando a crear un gusano
http://www.vsantivirus.com/26-07-03.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|