|
VSantivirus No. 1223 Año 8, Miércoles 12 de noviembre de 2003
Falla crítica en servicio Estación de Trabajo (XP, 2000)
http://www.vsantivirus.com/cert-ca-2003-28.htm
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
El CERT advierte sobre un desbordamiento de búfer en el Servicio de Estación de Trabajo de Windows (Workstation Service). La falla se produce en el archivo WKSSVC.DLL.
Un atacante puede explotar esta falla de forma remota, pudiendo ejecutar código en forma arbitraria en el equipo vulnerable, o provocar un cuelgue del mismo (denegación de servicio).
La falla afecta a Windows 2000 SP2, SP3 y SP4, Windows XP, y Windows XP SP1, además de Windows XP Edición de 64-Bits.
Microsoft publicó el boletín MS03-049 con el parche para esta falla. Básicamente se trata de un desbordamiento de búfer en el elemento WKSSVC.DLL, que puede ser explotado a través de un mensaje de red creado maliciosamente.
La falla fue reportada por eEye Digital. La vulnerabilidad es causada en las funciones de administración de red del servicio DCE/RPC y en una función de inicio de sesión implementada en el Servicio de Estación de Trabajo. Varias funciones RPC permitirán el pasaje de cadenas excesivamente largas, a la rutina utilizada para crear entradas en el registro. Esta rutina no comprueba los límites para los parámetros definidos, provocándose el desbordamiento del búfer asignado si la cadena recibida es muy extensa.
Un atacante podría ejecutar código en forma arbitraria, con privilegios de sistema, o causar una denegación de servicio. Esto podría ser utilizado por algún gusano de Internet, por lo que su actualización es catalogada como crítica.
El parche correspondiente está disponible en el boletín MS03-049 de Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS03-049.asp
[En español:
http://www.vsantivirus.com/vulms03-049.htm]
El CERT aconseja bloquear el acceso a los puertos 138, 139, y 445 (TCP y UDP), para limitar la exposición a los ataques. Sin embargo, este bloqueo no impedirá que un intruso desde el interior de la red pueda explotar esta vulnerabilidad.
También el uso de un cortafuegos impedirá el acceso desde el exterior. Se puede utilizar cortafuegos de terceros o habilitar en Windows XP el ICF (Internet Connection Firewall).
Para ello, siga estos pasos:
Desde Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.
En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. Pinche en "Aceptar".
Deshabilitar el Servicio de Estación de Trabajo
Dependiendo de los requisitos del sitio, se puede deshabilitar el servicio Estación de Trabajo de acuerdo a lo descripto en el boletín MS03-049.
En Windows XP:
Inicio, Panel de control, Herramientas administrativas (o Rendimiento y mantenimiento, Herramientas administrativas), Servicios.
Buscar en nombre, "Estación de trabajo" y hacer doble clic. En General, en "Estado del servicio", pinchar en "Detener". Seleccionar en "Tipo de inicio", "Deshabilitado". Pinchar en "Aceptar".
En Windows 2000:
Inicio, Configuración, Panel de control. Doble clic en "Herramientas administrativas", luego en "Servicios", y finalmente en "Estación de trabajo". En General, en "Estado del servicio", pinchar en "Detener". Seleccionar en "Tipo de inicio", "Deshabilitado". Pinchar en "Aceptar".
Esto ayudará a proteger el sistema contra ataques que intenten explotar esta vulnerabilidad, aunque también puede ocasionar otros efectos no deseados. Según Microsoft, si el servicio de Estación de Trabajo es deshabilitado, el sistema no podrá conectarse a ningún recurso compartido de archivo, ni compartir recursos de impresión en una red. Se deberá utilizar esta solución temporal, únicamente en sistemas independientes (equipo doméstico), que no se conectan a ninguna red. Si el servicio de Estación de Trabajo es deshabilitado, ningún servicio que dependa explícitamente del mismo se iniciará, y un mensaje de error será enviado por el registro de sucesos del sistema. Los siguientes servicios dependen del servicio de Estación de Trabajo:
º Alerta (Alerter)
º Examinador de Equipos (Browser)
º Messenger (Mensajero)
º Net Logon
º RPC Locator (Localizador RPC)
Dichos servicios son necesarios para acceder a los recursos de una red y para realizar autenticación de dominio. Por otra parte, la conectividad de Internet y la navegación en sistemas independientes, por ejemplo usuarios con conexiones telefónicas (dial-up), DSL, o cable módem, no deberían ser afectadas si estos servicios son deshabilitados.
Tampoco la herramienta Microsoft Baseline Security Analyzer funcionará si el servicio de Estación de Trabajo es deshabilitado. Si una aplicación requiere este servicio, simplemente se deberá restablecer el mismo. Esto puede hacerse repitiendo los pasos indicados antes, y cambiando el "Tipo de Inicio" del servicio de Estación de Trabajo a "Automático" en lugar de "Deshabilitado", y luego reiniciando el equipo.
Nota: Las actualizaciones de seguridad para Windows XP publicadas el 15 de octubre, que forman parte del boletín MS03-043 (828035), ya incluyen el archivo de actualización que ayuda a proteger esta vulnerabilidad. Si usted aplicó dicho parche, no tiene que volver aplicar esta actualización.
En cambio, la actualización de seguridad de Windows 2000 que formaba parte del boletín MS03-043
(828035), no ayuda a proteger ésta vulnerabilidad, motivo por el cuál, los usuarios de Windows 2000 deberían aplicar de todos modos la presente actualización.
Más información y descarga de los parches:
MS03-049 Falla en servicio Estación de Trabajo (828749)
http://www.vsantivirus.com/vulms03-049.htm
Más información:
CERT Advisory CA-2003-28
Buffer Overflow in Windows Workstation Service
http://www.cert.org/advisories/CA-2003-28.html
Microsoft Security Bulletin MS03-049
http://www.microsoft.com/technet/security/bulletin/MS03-049.asp
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|