Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat


VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.

Fuga de información en redes Ethernet
 
VSantivirus No. 919 - Año 7 - Domingo 12 de enero de 2003

Fuga de información en redes Ethernet
http://www.vsantivirus.com/vul-ethernet.htm

Nombre: Fuga de información en redes Ethernet
Fecha: 6/ene/2003
Aplicación: Drivers para tarjetas con protocolo Ethernet
Plataformas: Múltiples
Severidad: Acceso a información
Autores: Ofir Arkin <ofir@sys-security.com>, Josh Anderson
Vendor Status: Múltiples vendedores alertados vía CERT
Referencia: http://www.kb.cert.org/vuls/id/412115


Los drivers para tarjeta de red con protocolo Ethernet (Network Interface Card, NIC), manejan en forma incorrecta algunos parámetros, lo que puede permitir a un atacante visualizar trozos de paquetes previamente transmitidos, o porciones de la memoria del kernel.

Esta vulnerabilidad es el resultado de una incorrecta implementación de los requerimientos sugeridos en las RFC (Request For Comments, la documentación sobre estándares de Internet), sumado a malas prácticas de programación.

Un ataque simple haciendo uso de esta debilidad, permite el envío de paquetes ICMP (Protocolo de mensajes de control de Internet) para generar mensajes de error, paquetes de prueba y mensajes informativos relacionados con los IP.

En forma básica, esto se utiliza para comprobar la existencia de la computadora consultada. Pero si se envían paquetes ICMP a una máquina con los drivers para el protocolo Ethernet de la tarjeta con errores, porciones de la memoria del kernel (el corazón de Windows), son reenviados al atacante.

Durante las pruebas, se pudo comprobar que los trozos recibidos son típicamente parte del tráfico que la máquina vulnerable maneja. Este ataque permite a un atacante ver las porciones de tráfico que un router o un cortafuego maneja en los segmentos de la red a los que el asaltante no tiene acceso por los medios estándares. Sin embargo, el atacante debe estar en la misma red Ethernet donde se encuentre la máquina vulnerable.

Ethernet es el protocolo por el cual se comunican las computadoras en un entorno local de una red. Cada computadora utiliza una tarjeta (NIC, "Network Interface Card") para realizar la comunicación. Ethernet permite la transmisión de una sola señal a la vez (solo una computadora puede transmitir información a la vez y las demás deben esperar a que finalice la transmisión).

Además, en situaciones normales, cuando una PC envía información, las otras reciben los mismos datos, pero solo la PC con una dirección de tarjeta específica (MAC), acepta dicha información y las restantes la descartan.

La mayoría de los fabricantes de tarjetas mas conocidos, fueron notificados en su momento de estas fallas (junio del 2002), por el CERT (Coordination Center de la Carnegie Mellon University), organismo coordinador de incidentes y vulnerabilidades que involucren la seguridad en las computadoras.

Una referencia de las actualizaciones disponibles, y más información sobre esta falla en la página del CERT.

Se recomienda actualizar los drivers de Ethernet para las tarjetas usadas. Existe una referencia a las diferentes respuestas de los distintos vendedores en el sitio del CERT.


Referencias:

Vulnerability Note VU#412115
Network device drivers reuse old frame buffer data to pad packets
http://www.kb.cert.org/vuls/id/412115



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
 

Copyright 1996-2003 Video Soft BBS