Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

 

Falla crítica en servidores Microsoft IIS 5.0 (MS03-007)
 
VSantivirus No. 984 - Año 7 - Martes 18 de marzo de 2003

Falla crítica en servidores Microsoft IIS 5.0 (MS03-007)
http://www.vsantivirus.com/vulms03-007.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy


Un grave fallo en el manejo del búfer de un componente de Windows 2000 pone en grave riesgo a miles de servidores que utilizan el servidor Web de Microsoft, Internet Information Server (IIS).

Microsoft liberó un parche y un boletín de seguridad, advirtiendo del problema. El hecho de que ya exista un exploit para aprovecharse de esta falla, vuelve crítica la situación.

Según Microsoft, el fallo solo afecta a Windows 2000 (no a Windows XP ni a NT).

Microsoft IIS 5.0 es instalado y ejecutado de forma predeterminada en Windows 2000. La falla descubierta puede permitir a un intruso ejecutar en forma remota, código arbitrario en la máquina afectada.

Ya hay reportes de la acción de este exploit, lo que hace que sea crítico para los administradores de estos servidores, aplicar inmediatamente el parche correspondiente. 

Según informa Microsoft en su boletín, un atacante puede explotar la vulnerabilidad enviando un paquete HTTP especialmente formado a una máquina con IIS. La petición puede hacer que el servidor caiga o permitir la ejecución de código arbitrario bajo el contexto de seguridad local.

La vulnerabilidad es muy similar al fallo del que se aprovechaba el famoso gusano CodeRed, que hace tan sólo unos días ha resurgido en la forma de una nueva versión. 

La situación es más crítica por el hecho de que el problema se convirtió en un "0day" (zero day o día cero). Así se denomina a un incidente cuando el conocimiento de determinada falla o vulnerabilidad cae en manos de quienes se aprovechan de la situación explotando el fallo antes de que los propios fabricantes del software conozcan la existencia del mismo.

Microsoft tomó conocimiento del primer ataque con éxito que se aprovechaba de esta falla el pasado miércoles, y recién el lunes, ha publicado un boletín de seguridad junto con el parche correspondiente para corregir el problema.

La vulnerabilidad se origina en el uso de un protocolo llamado WebDAV (World Wide Web Distributed Authoring and Versioning) que funciona bajo ISS. Se compone de un conjunto de extensiones de HTTP que permiten a los usuarios manipular archivos almacenados en un servidor Web (RFC2518).

Un desbordamiento de búfer existente en la librería "ntdll.dll" utilizada por el componente WebDAV de IIS, permite que al enviar una solicitud al servidor, un intruso puede ser capaz de ejecutar código arbitrariamente en el contexto de seguridad local, menos crítico, dándole al atacante el control completo sobre el sistema.

El boletín de seguridad MS03-007 con el aviso, y la actualización correspondiente está disponible en el siguiente enlace:

http://www.microsoft.com/technet/security/bulletin/ms03-007.mspx

IMPORTANTE

13/oct/04 - En Windows 2000, el parche ha sido sustituido por el siguiente:

MS04-032 Actualización crítica para Windows (840987)
http://www.vsantivirus.com/vulms04-032.htm



Recomendaciones:

Hasta que no se instalen las actualizaciones correspondientes, se recomienda deshabilitar el servicio vulnerable, o seguir los siguientes consejos aportados por el CERT (UNAM/CERT, Equipo de Respuesta a Incidentes de la Universidad Nacional Autónoma de México):

Hasta que una actualización pueda ser aplicada, es posible deshabilitar IIS. Para determinar si IIS se esta ejecutando, Microsoft recomienda lo siguiente:

Ir a Inicio, Configuraciones, Panel de Control, Herramientas Administrativas, Servicios. Si el servicio "World Wide Web Publishing" está listado, entonces IIS está instalado.

Para deshabilitar IIS, se puede ejecutar la herramienta de IIS lockdown. Esta herramienta esta disponible en:

http://www.microsoft.com/downloads/release.mspx?ReleaseID=43955

Si no es posible deshabilitar IIS, se debe considerar utilizar la herramienta IIS lockdown para deshabilitar WebDAV (el remover WebDAV se puede especificar cuando se ejecuta la herramienta IIS lockdown). De forma alternativa, se puede deshabilitar WebDAV siguiendo las instrucciones localizadas en el Knowledge Base Article 241520, "Como deshabilitar WebDAV para IIS 5.0":

http://support.microsoft.com/default.mspxx?scid=kb;en-us;241520

Si no se puede utilizar la herramienta IIS lockdown o URLScan, de puede considerar restringir el tamaño del buffer que IIS utiliza para procesar los requerimientos utilizando la herramienta URL Buffer Size Registry Tool. Esta herramienta puede ser ejecutada contra un sistema Windows 2000 local o remoto ejecutando Service Pack 2 o Service Pack 3. La herramienta, las instrucciones de como utilizarla, y las instrucciones de como hacer cambios de forma manual en el Registry, esta disponible en:

URL Buffer Size Registry Tool
http://go.microsoft.com/fwlink/?LinkId=14875

Microsoft Knowledge Base Article 816930
http://support.microsoft.com/default.mspxx?scid=kb;en-us;816930

Microsoft Knowledge Base Article 260694
http://support.microsoft.com/default.mspxx?scid=kb;en-us;260694

También se podría utilizar la herramienta URLScan, la cual bloqueará los requerimientos que intenten explotar esta vulnerabilidad. La información sobre URLScan esta disponible en:

http://support.microsoft.com/default.mspxx?scid=kb;[LN];326444


Relacionados:

Maldito parche. Windows 2000 entre la espada y la pared
http://www.vsantivirus.com/20-03-03.htm

Expertos dicen: la falla en Windows 2000 es muy grave
http://www.vsantivirus.com/26-03-03a.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS