[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
--------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Computo
DGSCA- UNAM
Boletín de Seguridad UNAM-CERT 2003-028
Buffer Overflow en el Servicio de Estación de Trabajo de Windows
----------------------------------------------------------------------
El CERT/UNAM-CERT, a través de sus equipos de respuesta a
incidentes de Seguridad en Cómputo, han emitido éste boletín donde
informan de la existencia de una vulnerabilidad de buffer overflow
existente en el Servicio de Estación de Trabajo (Workstation) de
Microsoft Windows (WKSSVC.DLL).
Un intruso puede explotar esta vulnerabilidad de forma
remota ejecutando código arbitrario o causar una negación de servicio.
Fecha de Liberación: 11 de Noviembre de 2003
Ultima Revisión: - - - - -
Fuente: CERT/CC y diversos reportes de Equipos de
Respuesta a Incidentes, así como Foros y
Listas de Discusión.
SISTEMAS AFECTADOS
------------------
* Microsoft Windows 2000 Service Pack 2, Service Pack 3, Service
Pack 4
* Microsoft Windows XP
* Microsoft Windows XP Service Pack 1
* Microsoft Windows XP Edición de 64-Bits
DESCRIPCIÓN
-----------
El Boletín de Seguridad de Microsoft MS03-049
<http://www.microsoft.com/technet/security/bulletin/MS03-049.asp>
discute un buffer overflow en el servicio de Estación de Trabajo de
Microsoft Windows que puede ser explotado a través de un mensaje de
red creado de forma maliciosa.
De acuerdo al Boletín de Seguridad AD20031111
<http://www.eeye.com/html/Research/Advisories/AD20031111.html>, de
eEye Digital, la vulnerabilidad es causada por una falla en la
funciones de administración de red del servicio DCE/RPC y una
función de inicio de sesión implementada en el Servicio de Estación
de Trabajo (WKSSVC.DLL). Varias funciones RPC permitirán el paso de
cadenas largas a la rutina vsprintf() que es utilizada para crear
entradas de registro. La rutina vsprintf() no realiza ninguna
comprobación de limites para los parámetros que crean una situación
de buffer overflow.
El CERT/UNAM-CERT esta dando un seguimiento a esta vulnerabilidad
como VU#567620 <http://www.kb.cert.org/vuls/id/567620>. Este número
de referencia corresponde al candidato CVE
<http://www.cve.mitre.org/> CAN-2003-0812
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0812>.
IMPACTO
-------
Un intruso podría explotar esta vulnerabilidad para ejecutar código
arbitrario con privilegios a nivel sistema o causar una negación de
servicio. El vector de ataque y el impacto para esta vulnerabilidad
conduce a la automatización de ataques de código malicioso en forma
de gusanos de Internet.
SOLUCIÓN
--------
* Aplicar una Actualización del Distribuidor
Aplicar la actualización apropiada especificada en Boletín de
Seguridad de Microsoft MS03-049
<http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-049.asp>.
El Apéndice A contiene información proporcionada por los
distribuidores de éste boletín. Si un distribuidor en particular
reporta nueva información al CERT/UNAM-CERT, esta sección será
actualizada. Si un distribuidor no se encuentra listado a
continuación o en las notas de vulnerabilidad individuales significa
que no se ha recibo información por parte del mismo. Consulte
directamente a su distribuidor.
* Restringir el acceso
Se puede bloquear el acceso desde fuera del perímetro de red
bloqueando específicamente el acceso a los puertos 138, 139, y 445
(TCP y UDP). Esto limitará la exposición a los ataques. Sin embargo,
el bloqueo en el perímetro de la red no impedirá que intrusos desde
dentro del perímetro de la red puedan explotar la vulnerabilidad. Es
importante entender la configuración de red y los requerimientos de
servicios antes de decidir implementar los cambios apropiados.
* Deshabilitar el Servicio de Estación de Trabajo
Dependiendo de los requisitos del sitio, se puede deshabilitar el
servicio de la Estación de Trabajo de acuerdo a lo descrito en
MS03-049
<http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-049.asp>.
Deshabilitando el servicio de la Estación de Trabajo ayudará a
proteger contra ataques que intenten explotar esta vulnerabilidad,
pero también puede causar efectos secundarios indeseables. De
acuerdo al Boletín de la Seguridad de Microsoft, los impactos al
deshabilitar el servicio de Estación de Trabajo son los siguientes:
"Si el servicio de Estación de Trabajo es deshabilitado, el
sistema no puede conectarse a ningún recurso compartido de
archivo ni compartir recursos de impresión en una red. Se debe
utilizar esta solución temporal solamente en sistemas
independientes (como lo son muchos sistemas caseros) que no se
conectan a una red. Si el servicio de Estación de Trabajo es
deshabilitado, ningún servicio que dependa explícitamente de
este servicio no se iniciará, y un mensaje de error se
registrará el registro de sucesos del sistema. Los siguientes
servicios dependen del servicio de Estación de Trabajo:
* Alerta (Alerter)
* Examinador de Equipos (Browser)
* Messenger (Mensajero)
* Net Logon
* RPC Locator (Localizador RPC)
Estos servicios son requeridos para acceder a recursos en una
red y para realizar autenticación de dominio. La conectividad de
Internet y navegación en sistemas independientes, como por
ejemplo usuarios en conexiones de marcado (dial-up), en
conexiones DSL, o en conexiones cable modem, no deberían ser
afectadas si estos servicios son deshabilitados.
*Nota:* la herramienta Microsoft Baseline Security Analyzer no
funcionará si el servicio de Estación de Trabajo esta
deshabilitado. Si una aplicación requiere el servicio de
Estación de Trabajo, simplemente se debe rehabilitar el
servicio. Esto puede ser realizado cambiando el Tipo de Inicio
del servicio de Estación de Trabajo de nuevo a Automático y
reiniciar el sistema".
APÉNDICE A. Información de Distribuidores
------------------------------------------
El Apéndice A contiene información proporcionada por los
distribuidores de éste boletín. Si un distribuidor en particular
reporta nueva información al CERT/UNAM-CERT, esta sección será
actualizada. Si un distribuidor no se encuentra listado a
continuación o en las notas de vulnerabilidad individuales significa
que no se ha recibo información por parte del mismo. Consulte
directamente a su distribuidor.
* Microsoft Corp. <http://microsoft.com
Microsoft ha liberado el Boletín de Seguridad MS03-049
http://www.microsoft.com/technet/security/bulletin/MS03-049.asp
------------------------------------------------------------------------
Esta vulnerabilidad fue descubierta por eEye Digital Security y
reportada en el Boletín de Seguridad de Microsoft MS03-049.
------------------------------------------------------------------------
Autores de la Versión Original: *Jason A Rafail.
------------------------------------------------------------------------
El *Departamento de Seguridad en Cómputo/UNAM-CERT* agradece el
apoyo en la elaboración, revisión y traducción de éste boletín a:
* Omar Hernández Sarmiento (oherna en seguridad unam mx)
* Carlos Juárez Anguiano (cjuarez en seguridad unam mx)
* Jesús R. Jiménez Rojas (jrojas en seguridad unam mx)
------------------------------------------------------------------------
INFORMACIÓN
-----------
Éste documento se encuentra disponible en su formato original en la
siguiente dirección:
http://www.cert.org/advisories/CA-2003-28.html
La versión en español del documento se encuentra disponible en:
http://www.seguridad.unam.mx
http://www.unam-cert.unam.mx/Boletines/Boletines2003/boletin-UNAM-CERT-2003-028.html
http://www.unam-cert.unam.mx/Boletines/Boletines2003/boletin-UNAM-CERT-2003-026.html
Para mayor información acerca de éste boletín de seguridad contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : unam-cert en seguridad unam mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
- --
Juan Carlos Guel Lopez
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
DGSCA, UNAM E-mail: unam-cert en seguridad unam mx
Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43
Del. Coyoacan WWW: http://www.seguridad.unam.mx
04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQEVAwUBP7GviXAvLUtwgRsVAQGrSQf+KLDBMYr2FVJkmK5EyIgy2HalLTBMJbnb
YjuZlmaJN7P5U7O3XzXIpR1uATa78xswd8iEI0pulPPMtabrju4SSlQHVjjTCAXc
qspGfTD6aNi8pL95efE0rGm6vWdI2tZvjK7ItxiwHFhzcgF2h1YXlppsUqs7fw4u
Y4lzVNVueUpv2magbYCeRmoIU9qxEC0tBWDYTkLCWhC8J3dZvJ6yeE7SWhtM1dY+
Byl4IM7p6d1z1qJd02BaOyh607Pvab/T7vr66r75iixecSZxIwD2yzU1mnw25JhK
R4Wh7X9MlheGVqQp84tBS/B00S+badlB8xrkCKPemrpf63vcinahlA==
=3Gyl
-----END PGP SIGNATURE-----
--
Lista de soporte de LinuxPPP
Dirección email: Linux en linuxppp com
Dirección web: http://mail.linuxppp.com/mailman/listinfo/linux
Reglas de la lista: http://linuxppp.net/reglas.html