Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Microsoft WINS permite ejecución remota de código
 
VSantivirus No. 1607 Año 8, martes 30 de noviembre de 2004

 Microsoft WINS permite ejecución remota de código
http://www.vsantivirus.com/vul-wins-301104.htm

Por Angela Ruiz
angela@videosoft.net.uy

Se ha reportado una vulnerabilidad en Microsoft WINS (Windows Internet Naming Service o Servicio de Nombres de Internet de Windows), que podría provocar la ejecución remota de código.

WINS es un protocolo basado en NetBIOS, usado para gestionar la resolución de nombres descriptivos, asociados a las direcciones IP (Internet Protocol) de las computadoras de una red (Ej: SERVIDOR1 = 120.12.0.3).

En una red Windows, a cada máquina se le asigna un nombre único, utilizado entre otras cosas para compartir recursos. Generalmente se hace uso de un servidor WINS para resolver los nombres de las máquinas que se encuentren en dos redes IP distintas, o para disminuir la cantidad de solicitudes entre máquinas de una misma red IP. Este servidor permite que las máquinas se registren cuando se encienden o conectan a la red, y mantiene actualizada la tabla de correspondencia NOMBRE = DIRECCION IP.

La vulnerabilidad ocurre por un desbordamiento de búfer en WINS.EXE, producido por el secuestro de un puntero (elemento que indica al procesador determinada dirección de memoria), durante la replicación de paquetes, y afecta a los siguientes productos:

- Microsoft Windows Server 2003, Standard Edition 
- Microsoft Windows Server 2003, Web Edition 
- Microsoft Windows Server 2003, Enterprise Edition 
- Microsoft Windows Server 2003, Datacenter Edition 
- Microsoft Windows 2000 Advanced Server 
- Microsoft Windows 2000 Datacenter Server 
- Microsoft Windows 2000 Server 
- Microsoft Windows NT Server 4.0 Terminal Server 
- Microsoft Windows NT Server 4.0 Standard Edition

Un atacante podría construir un paquete WINS modificado de tal modo, que al ser enviado a este servicio, sobrescriba 16 bytes en una zona arbitraria de la memoria usada por el programa, con la posibilidad de poder ejecutar código con los privilegios del usuario afectado.

Microsoft recomienda filtrar el acceso remoto a los puertos TCP/42 y UDP/42 (usando cortafuego, etc.). Estos puertos son utilizados para iniciar una conexión con servidores WINS.

Otras soluciones serían remover el servicio WINS, o utilizar IPsec (Internet Protocol security).

El servicio WINS no se instala en ninguna configuración por defecto de los sistemas operativos mencionados.


Solución (14/12/04):

Descargar e instalar el siguiente parche:

MS04-045 Ejecución remota de código en WINS (870763)
http://www.vsantivirus.com/vulms04-045.htm


Más información:

How to help protect against a WINS security issue
http://support.microsoft.com/?kbid=890710


Créditos:

Nicolas Waisman


Relacionados:

Microsoft WINS Server Vulnerability
http://xforce.iss.net/xforce/alerts/id/184

Microsoft WINS
Memory Overwrite Lets Remote Users Execute Arbitary Code
http://www.securitytracker.com/alerts/2004/Nov/1012341.html

Vulnerability Wins.exe remote vulnerability
http://www.immunitysec.com/downloads/instantanea.pdf

Microsoft Windows WINS
Replication Packet Handling Vulnerability
http://secunia.com/advisories/13328/


Actualizaciones:

15/12/04 - 03:37 -0200 (Solución publicada, parche MS04-045)





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS