Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

NAPTHA, todos los sistemas, menos Win2K son vulnerables
 
VSantivirus No. 151 - Año 4 - Miércoles 6 diciembre de 2000

¿Qué son las vulnerabilidades NAPTHA?

A fines de noviembre, una nueva clase de vulnerabilidades de la red, sensible a ataques DoS (Denial of Service, Denegación de servicio), han sido descubiertas, y se las ha puesto el nombre de NAPTHA.

Las vulnerabilidades NAPTHA están basadas en la manera que las pilas TCP/IP y las aplicaciones de la red, manejan el estado de una conexión TCP.

Los sistemas operativos afectados por esta vulnerabilidad, son todas las versiones de Windows NT 4.0, Windows 95, 98, 98 Segunda Edición, y Windows Me (Windows 2000 no es afectado).

También son afectados estos sistemas y versiones:

Netware 5 SP1 
Compaq Tru64 UNIX 
FreeBSD 4.0-REL 
Linux 2.0 y sistemas basados en este kernel
HP-UX 11.00
Red Hat Linux 6.1
IRIX 6.5.7m
Slackware 4.0
Solaris 7
Solaris 8

¿Qué son los ataques D.o.S.?

Los ataques de "Denegación de Servicio", en principio consisten en acciones capaces de agotar los recursos de una máquina o de una red, con miles o hasta millones de solicitudes simultáneas. Los efectos de tales ataques varían, pero en principio, lo más notorio es que pueden reducir dramáticamente la velocidad de la computadora o host atacado, además de enlentecer y hasta "matar" la conexión de la red, o aun peor, colgar al sistema operativo.

Las vulnerabilidades Naptha actúan de igual manera. Es posible crear una gran cantidad de conexiones TCP, y dejarlas en ciertos estados, de manera que las aplicaciones individuales o el propio sistema operativo se quedan sin recursos, hasta el punto de fallar.

En el pasado, este tipo de ataque no era posible llevarlo a cabo de esta manera, ya que los propios recursos del atacante se agotarían. Pero la innovación proporcionada por los ataques Naptha, es que es posible hacer esto, con un muy pequeño gasto de recursos por parte del atacante.

Por lo tanto, con suficientes recursos disponibles de parte de éste, cualquier sistema es vulnerable a este ataque.

Y si existe un software capaz de hacer esto, las posibilidades de éxito aumentan, porque aunque un sencillo TELNET, podría lograr su objetivo, siempre que el atacante posea una computadora con gran cantidad de RAM, un procesador rápido y un sistema operativo muy optimizado, los recursos consumidos serían demasiados en relación a los daños, como para que esto sea considerado una vulnerabilidad seria.

Es que el kernel (el corazón del sistema operativo) guarda un registro por cada conexión TCP. Un gran cantidad de estas conexiones, sin tomar en cuenta el tipo de actividad, requieren más memoria y tiempo de CPU.

Naptha es eficiente en esto. No utiliza las formas tradicionales de implementar una conexión TCP, y por lo tanto no usa las APIs estándar. Al contrario del uso normal de las pilas TCP/IP, no lleva ningún registro del estado de la conexión. De esta manera se pueden producir cientos o miles de conexiones y paquetes enviados a la víctima, consumiendo muy pocos recursos de la computadora del atacante.

Las pruebas reportadas, indican que sistemas como Novell Netware 5.0 con las últimas actualizaciones quedaron bloqueados después de 3000 conexiones realizadas a un puerto determinado. FreeBSD 4.0-REL quedó inutilizable después de 495 conexiones, y el sistema reportó "too many open files in system" (demasiados archivos abiertos en el sistema). El único sistema que permaneció invulnerable a este ataque fue Windows 2000.

Los parches

Existe una herramienta creada para testear estas vulnerabilidades, se llama también Naptha, es de BindView RAZOR y funciona con todos los puertos TCP.

Un código de demostración está disponible, junto con los detalles completos, en el sitio de BindView RAZOR:

 http://razor.bindview.com/publish/advisories/adv_NAPTHA.html

Microsoft ha liberado un parche que protege el puerto 139 (Netbios), en Windows NT, y está disponible en la siguiente dirección bajo el nombre de "Patch Available for 'Incomplete TCP/IP Packet' Vulnerability", correspondiente a su boletín de seguridad MS00-091.

http://www.microsoft.com/Downloads/Release.asp?releaseID=25114

Otros fabricantes aún no han ofrecido una solución.


Para Windows 95, 98 y Me, se ofrecen otras soluciones, las que exponemos a continuación.

Deshabilitar "Compartir archivos e impresoras"

Si tenemos instalado el servicio "Compartir impresoras y archivos para redes Microsoft" en la configuración de redes (Windows 95, 98 y Me), y lo tenemos enlazado a los protocolos TCP/IP, los usuarios externos podrían tener acceso a nuestro PC.

Sin embargo, si utilizamos una red, esta opción podría ser necesaria, para compartir recursos con las otras computadoras.

Si usted no tiene una red, directamente no necesita este servicio. La recomendación por lo tanto es quitarlo.

Si usted tiene una red, lo aconsejable es no enlazar estos recursos a los protocolos TCP/IP.

Estos son los pasos a dar:

1. Desde Mi PC, Panel de control, pinche en "Red".

2. Seleccione la opción TCP/IP->Adaptador de acceso telefónico a redes, pinche en Propiedades, y seleccione en "Propiedades de TCP/IP" la lengüeta "Enlaces". Desmarque la casilla "Compartir impresoras y archivos para redes Microsoft". Pulse en Aceptar y acepte los cambios.

3. Reinicie la computadora.

Esto desactiva la posibilidad de acceder a los recursos compartidos desde Internet. Sin embargo, los usuarios que utilicen cable módem o conexiones DSL, deben realizar este otro tipo de configuración:

1. Desde Mi PC, Panel de control, pinche en "Red".

2. Seleccione la opción TCP/IP->Adaptador de tarjeta de red (o similar), pinche en Propiedades, y seleccione la lengüeta "Enlaces". Desmarque la casilla "Compartir impresoras y archivos para redes Microsoft". Pulse en Aceptar y acepte los cambios.

3. Reinicie su computadora.

Luego, instale NetBEUI.

4. Desde Mi PC, Panel de control, pinche en "Red".

5. Pulse en el botón "Agregar", seleccione "Protocolo", Agregar, "Microsoft" y seleccione "NetBEUI".

6. Pulse en Aceptar y reinicie su computadora.

Estos procedimientos deben repetirse en todas las computadoras que necesitan compartir archivos u obtener acceso a los archivos compartidos pero cuyo adaptador queda expuesto a Internet.

Otra solución dada por Microsoft, es instalar la "Conexión Compartida a Internet" (disponible en Windows 98 SE y Me) que proporciona la protección adecuada. La conexión compartida a Internet solo debe instalarse en la computadora que se conecta a Internet. Las demás computadoras se conectarán a esta a través de una red.

Para instalar la Conexión Compartida a Internet

1. Vaya a Mi PC, Panel de control, Agregar o quitar programas.

2. Pinche en Instalación de Windows, Comunicaciones (Windows Me) o Herramientas de Internet (Windows 98 SE), seleccione "Conexión compartida a Internet", Aceptar, y siga las instrucciones de instalación. Se generará un disquete que usted deberá instalar en las otras computadoras de la red, las que no es necesario tengan Windows 98 SE o Me para funcionar.

Comentarios para administradores de sistemas y usuarios

Para minimizar las consecuencias de un ataque DoS con Naptha, se recomiendan estas acciones:

- Usuarios de Windows NT
Bajar e instalar el parche mencionado

- Usuarios de Windows 95, 98, 98 SE y Me
Seguir los consejos anteriores

- Usuarios de Windows 2000
Están protegidos por las características de este sistema

- Usuarios de otros sistemas mientras no salgan los parches y actualizaciones respectivas

1. Limitar la cantidad de servicios que se están ejecutando en cualquier sistema que usted suponga víctima de un ataque Naptha, especialmente los sistemas públicos.

2. Limitar el acceso a los puertos TCP expuestos del sistema, a través de técnicas como firewall, etc. En sistemas públicos, esto puede no ser fácil, pero debería implementarlo dentro de las opciones razonables.

3. Asegurarse que routers y firewalls, estén configurados apropiadamente, y correctamente implementados los filtros (ver RFC 2267)

4. En sistemas Unix, utilizar "inetd" o "tcpserver" (ver http://cr.yp.to/ucspi-tcp.html), para limitar la cantidad de procesos de los daemons, etc.

5. En sistemas que permiten ajustes de los "timeouts" y los "keepalives" de los TCP (Linux, etc.), optimizarlos para permitir una recuperación más rápida (asumiendo que el ataque Naptha no colgó el sistema).

Referencias:

CVE:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2000-1039

CERT Advisory:
http://www.cert.org/advisories/CA-2000-21.html

Microsoft's security bulletin:
http://www.microsoft.com/technet/security/bulletin/MS00-091.asp

Microsoft Security Patch para Windows NT:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=25114

RFC 2267:
http://www.faqs.org/rfcs/rfc2267.html

"Distributed Denial of Service Defense Tactics"
http://razor.bindview.com/publish/papers/DDSA_Defense.html

"Strategies for Defeating Distributed Attacks"
http://razor.bindview.com/publish/papers/strategies.html

Snort:
http://www.snort.org

Dan Bernstein's tcpserver:
http://cr.yp.to/ucspi-tcp.html

Simson Garfinkel on Process-Table Attack
http://www.securityfocus.com/archive/1/12636

Stanislav Shulanov's Netkill
http://www.securityfocus.com/archive/1/56462

BindView RAZOR
http://razor.bindview.com/publish/advisories/adv_NAPTHA.html

 

 

Copyright 1996-2000 Video Soft BBS