[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Computo
DGSCA- UNAM
Boletin de Seguridad UNAM-CERT 2003-003
Buffer Overflow en el Servicio Locator de Windows
------------------------------------------------------------------
El CERT/UNAM-CERT, a travÚs de sus equipos de respuesta a
incidentes de Seguridad en C¾mputo, han emitido Úste boletİn en el
cual informan de la existencia de un buffer overflow en el servicio
/Locator/ de Microsoft Windows que podrİa permitir a un intruso
remoto ejecutar c¾digo arbitrario o causar que falle el servicio. El
servicio /Locator/ esta habilitado de forma predeterminada en los
controladores de dominio de Windows 2000 y Windows NT 4.0.
Fecha de Liberaci¾n: 23 de Enero de 2003
Ultima Revisi¾n: ---
Fuente: CERT/CC y diversos reportes de Equipos de Respuesta a
Incidentes.
SISTEMAS AFECTADOS
------------------
* Microsoft Windows NT 4.0
* Microsoft Windows NT 4.0, Terminal Server Edition
* Microsoft Windows 2000
* Microsoft Windows XP
DESCRIPCIËN
-----------
Un buffer overflow en el servicio Locator de Windows puede hacer
posible que un intruso remoto ejecute c¾digo arbitrario en un
sistema vulnerable enviando una gran carga de requerimientos a dicho
servicio. Microsoft describe al servicio Locator como "un servicio
de nombres que mapea nombres l¾gicos a nombres especİficos de red".
De acuerdo con MS03-001:
Un cliente que realiza una RPC (Remote Procedure Call) puede
llamar al servicio Locator para resolver el nombre l¾gico de un
objeto de red a un nombre especİfico de red para utilizarlo en
la RPC. Por ejemplo, si un servidor de impresi¾n tiene el nombre
l¾gico "laserprinter", un cliente RCP podrİa llamar al servicio
Locator para encontrar el nombre especİfico de red que esta
mapeado para "laserprinter". El cliente RPC utiliza el nombre
especİfico de red cuando realiza la llamada RPC para el servicio.
Para obtener mayor informaci¾n sobre esta vulnerabilidad, consulte
el Boletİn de Seguridad de Microsoft MS03-001
<http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-001.asp>
y la Nota de Vulnerabilidad del CERT/CC VU#610986
<http://www.kb.cert.org/vuls/id/610986>, la cual corresponde al
candidato CAN-2003-0003
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0003> por el
grupo a CVE <http://cve.mitre.org/>.
IMPACTO
-------
Un intruso remoto puede ser capaz de ejecutar c¾digo arbitrario en
un sistema vulnerable, o causar falle que el servicio Locator de
Windows. Un intruso que capaz de comprometer un controlador de
dominio podrİa ser capaz de causar que el controlador de dominio
comprometido confİe en el dominio de un intruso.
SOLUCION
---------
* Aplicar una Actualizaci¾n del Distribuidor.
Microsoft ha proporcionado la siguiente informaci¾n (contenida en
MS03-001
<http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-001.asp>)
para ayudar a que se descargue la actualizaci¾n apropiada para la
plataforma(s):
* Windows NT 4.0:
o All except Japanese NEC and Chinese - Hong Kong
<http://microsoft.com/downloads/details.aspx?FamilyId=F92D1E86-590A-4DA5-93F2-FCC6300A1A43&displaylang=en>
o Japanese NEC
<http://microsoft.com/downloads/details.aspx?FamilyId=F211C932-D442-4A1A-B385-77975DE3B280&displaylang=ja>
o Chinese - Hong Kong
<http://microsoft.com/downloads/details.aspx?FamilyId=C8AAB17B-48B2-4E9F-B06F-2A54BA59A45F&displaylang=zh-tw>
* Windows NT 4.0, Terminal Server Edition:
o All
<http://microsoft.com/downloads/details.aspx?FamilyId=EB651162-97F2-47F9-8E99-016B35B7646D&displaylang=en>
* Windows 2000:
o All except Japanese NEC
<http://microsoft.com/downloads/details.aspx?FamilyId=33FF827A-D5DB-4F92-9DEF-4D91A140E0E0&displaylang=en>
o Japanese NEC
<http://microsoft.com/downloads/details.aspx?FamilyId=1B142CF9-CADA-4DFF-B42D-7E2022A17E6A&displaylang=ja>
* Windows XP:
o 32-bit Edition
<http://microsoft.com/downloads/details.aspx?FamilyId=DF24197E-6217-4ABD-A244-0A53320B2813&displaylang=en>
o 64-bit Edition
<http://microsoft.com/downloads/details.aspx?FamilyId=B8999D16-3DAD-4E20-B46E-E1AEFB1F6673&displaylang=en>
* Deshabilitar el Servicio Vulnerable.
Hasta que pueda ser aplicada una actualizaci¾n, se puede
deshabilitar el servicio Locator de Windows. Para determinar si el
servicio Locator de Windows se esta ejecutando, Microsoft recomienda
<http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-001.asp>
lo siguiente:
* El estado del servicio "Remote Procedure Call (RPC) Locator"
y la forma en que esta iniciando (automßticamente o
manualmente) pueden ser visualizado en el Panel de Control.
Para Windows 2000 y Windows XP, utilice el Panel de Control |
Herramientas Administrativas | Servicios, y en Windows NT 4.0,
utilice Panel de Control | Servicios.
* Si es posible determine el estado del servicio Locator desde
la lİnea de comandos introduciendo: net start
* Serß desplegada una lista de servicios. Si "Remote Procedure
Call (RPC) Locator" aparece en la lista, entonces el servicio
se estß ejecutando.
Para deshabilitar el servicio Locator de Windows, Microsoft
recomienda
<http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-001.asp>
lo siguiente:
* Un administrador puede deshabilitar el servicio Locator
estableciendo el estado del servicio RpcLocator a
"deshabilitado" en Servicios dentro del Panel de Control.
* El servicio puede ser detenido por medio de la lİnea de
comando utilizando el programa sc.exe, contenido en Windows XP
y estß incluido como parte del Kit de Recursos de Windows 2000
<http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/w2krkit.asp>.
El siguiente comando detendrß el servicio: sc stop RpcLocator
* Para deshabilitar el servicio utilizando una herramienta de
lİnea de comando, utilice: /*sc config RpcLocator start= disabled
* Deshabilitar el Acceso a NetBIOS.
Se puede bloquear el acceso a NETBIOS desde fuera del perİmetro de
red. Esto limitarß la exposici¾n a ataques. Sin embargo, si se
bloquea en el perİmetro de la red se podrİa aœn permitir a los
intrusos explotar la vulnerabilidad dentro del perİmetro de la red.
Es importante entender la configuraci¾n de la red y los
requerimientos del servicio antes de decidir los cambios apropiados.
Como una mejor prßctica, el CERT/UNAM-CERT recomiendan deshabilitar
todos los servicios vulnerables que no son explİcitamente
requeridos. Antes de decidir deshabilitar el servicio Locator de
Windows, considere cuidadosamente sus requerimientos.
Se debe hacer notar que Microsoft estß activamente distribuyendo las
actualizaciones para esta vulnerabilidad por medio de Windows Update
<http://windowsupdate.microsoft.com/>.
APNDICE A. Informaci¾n del Distribuidor
----------------------------------------
Este apÚndice contiene informaci¾n proporcionada por el distribuidor
de Úste boletİn. Si el distribuidor reporta nueva informaci¾n al
CERT/UNAM-CERT, esta secci¾n serß actualizada.
Microsoft Corporation <http://www.microsoft.com/>
Consulte el: Boletİn de Seguridad de Microsoft MS03-001
<http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-001.asp>.
APNDICE B.- Referencias
------------------------
* Boletİn de Seguridad de Microsoft MS03-001 -
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-001.asp
* Nota de Vulnerabilidad del CERT/CC VU#610986 -
http://www.kb.cert.org/vuls/id/610986
CREDITOS
--------
UNAM-CERT agradece a los colaboradores en la elaboracion,traduccion y
verificacion de este boletin de Seguridad a:
* Jesus Jimenez Rojas
* Juan Carlos Guel L.
INFORMACIËN
-----------
ste documento se encuentra disponible en su formato original en la
siguiente direcci¾n:
http://www.cert.org/advisories/CA-2003-03.html
Para mayor informaci¾n acerca de Úste boletİn de seguridad contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : seguridad en seguridad unam mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
Charset: cp850
iQEVAwUBPjCEmHAvLUtwgRsVAQG8hQf+ObDxL4qoKhJiMC7qX6+zQjLYOAJPMd4F
crMIGlENHkDRcoppXn19Sx0fnVONaErQWsALetz87elAtrPA0gjfYKdEbyoTfNGV
nYnvyAvM1UiKHdzom0ku4egip7hp8MiHX7jGHfyv8TXMQQp19dxkURKYd2hhXMCj
gsCtU/y4OtmqzR7vfYzjBKDzMkdwsoBiedrCO8Qm/OljNdPz/73wF4Je+HFTQkdn
Mv793o/+mEXC//aTNH6kZ5CYg9LbdtIxU0KvKiZ40UyxI5UlYJEOxbBfADlO6uAn
gzXjC4fqFTTIjamyZqMf03XmM37hDdrBaSR03TsJUyhxcHhS9Swfow==
=HDae
-----END PGP SIGNATURE-----
_______________________________________________
Ayuda mailing list
Ayuda en linux org mx
Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/