[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Computo
DGSCA- UNAM
Boletín de Seguridad UNAM-CERT 2003-023
Vulnerabilidades RPCSS en Microsoft Windows
------------------------------------------------------------------------
El *CERT/UNAM-CERT*, a través de sus equipos de respuesta a
incidentes de Seguridad en Cómputo, informan que Microsoft ha
publicado un boletín de seguridad donde se describen tres
vulnerabilidades que afectan numerosas versiones de Microsoft Windows.
De acuerdo al Boletín de Seguridad de Microsoft MS03-029 dos de
estas vulnerabilidades son del tipo buffer overflow remotamente
explotables que podrían permitir a un intruso ejecutar código
arbitrario con privilegios del sistema. La tercera vulnerabilidad
podría permitir a un intruso remoto causar una negación de servicio.
Fecha de Liberación: 10 de Septiembre de 2003
Ultima Revisión: - - - - -
Fuente: CERT/CC y diversos reportes de Equipos de
Respuesta a Incidentes, así como Foros y
Listas de Discusión.
SISTEMAS AFECTADOS
==================
* Microsoft Windows NT Workstation 4.0
* Microsoft Windows NT Server 4.0
* Microsoft Windows NT Server 4.0, Terminal Server Edition
* Microsoft Windows 2000
* Microsoft Windows XP
* Microsoft Windows Server 2003
DESCRIPCIÓN
===========
El Servicio RPCSS de Microsoft es responsable de administrar
mensajes RPC (Remote Procedure Call). Existen dos vulnerabilidades
de buffer overflow en el servicio RPCSS, el cual está habilitado de
forma predeterminada en muchas versiones de Microsoft Windows. Estas
fallas del tipo buffer overflow ocurren en secciones de código que
manejan la activación de mensajes DCOM enviados al servicio RPCSS.
El CERT/UNAM-CERT está dando seguimiento a estas vulnerabilidades en
las Notas VU#483492 <http://www.kb.cert.org/vuls/id/483492> y
VU#254236 <http://www.kb.cert.org/vuls/id/254236>, que corresponden
a los candidatos CVE <http://www.cve.mitre.org/>: CAN-2003-0715
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0715> y
CAN-2003-0528
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0528>,
respectivamente. Los buffers overflow discutidos en éste boletín son
diferentes a los discutidos en boletines anteriores.
Microsoft también ha publicado información en relación a la
vulnerabilidad de negación de servicio en el servicio RPCSS. Esta
vulnerabilidad solo afecta a sistemas Microsoft Windows 2000.
El CERT/UNAM-CERT está dando seguimiento a esta vulnerabilidad como
VU#326746 <http://www.kb.cert.org/vuls/id/326746>, la cual
corresponde al candidato CVE <http://www.cve.mitre.org/>:
CAN-2003-0605
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0605>. Esta
vulnerabilidad fue discutida previamente en el Boletín de Seguridad
UNAM-CERT 2003-019 "Explotación de vulnerabilidades en Interface RPC
de Microsoft"
IMPACTO
=======
Explotando cualquiera de las vulnerabilidades de buffer overflow,
intrusos remotos podrían ser capaces de ejecutar código arbitrario
con privilegios de la cuenta Local System.
Explotando la vulnerabilidad de negación de servicio, los intrusos
podrian causar inestabilidad de forma remota a través de la
utilización del servicio RPCSS. Esto podría resultar en una
inestabilidad general del sistema lo cual requerirá reiniciar el mismo.
SOLUCIÓN
========
* Aplicar una Actualización de Microsoft
Microsoft ha publicado el Boletín de Seguridad de Microsoft MS03-039
para cubrir esta vulnerabilidad. Para mayor información, se puede
consultar:
http://www.microsoft.com/technet/security/bulletin/MS03-039.asp
Este Boletín reemplaza al Boletín de Seguridad de Microsoft MS03-026
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
* Bloquear el Tráfico en los Puertos RPC Microsoft Comunes.
Como medida temporal, los usuarios pueden reducir la posibilidad de
una explotación satisfactoria bloqueando el tráfico hacia y desde
los puertos RPC Microsoft conocidos, los cuales incluyen:
* Puerto 135 (tcp/udp)
* Puerto 137 (udp)
* Puerto 138 (udp)
* Puerto 139 (tcp)
* Puerto 445 (tcp/udp)
* Puerto 593 (tcp)
Para evitar que los equipos comprometidos puedan contactar otros
equipos y a su vez intentar infectarlos, el CERT/UNAM-CERT
recomiendan a todo aquel administrador de sistemas filtrar el
tráfico de los puertos listados arriba tanto para las peticiones de
tráfico entrante como peticiones de tráfico saliente.
* Deshabilitar COM Internet Services y RPC sobre HTTP.
COM Internet Services (CIS) es un componente opcional que permite
que los mensajes RPC sean enviados mediante un tunel usando el
protocolo HTTP a través de los puertos 80 y 443 Como una medida
temporal, los sitios que utilicen CIS podrían deshabilitarlo como
una alternativa para bloquear el tráfico desde y hacia los puertos
80 y 443.
* Deshabilitar DCOM.
Deshabilitar DCOM como se describe en MS03-039
<http://www.microsoft.com/technet/security/bulletin/MS03-039.asp> y
en el Artículo Microsoft Knowledge Base825750
<http://support.microsoft.com/default.aspx?kbid=825750>.
* Consultar el Sitio sobre 'Virus y Gusanos' del UNAM-CERT
Para obtener mayor información acerca de que es un virus y un gusano,
así como los gusanos de mayor impacto en los ultimos meses te
recomendamos visitar el sitio que el UNAM-CERT liberó en días
recientes y que contiene información técnica así como información
breve de como erradicarlos de tus equipos a tráves de herramientas
automáticas.
UNAM-CERT: Virus y Gusanos
http://www.unam-cert.unam.mx/gusanos/index.html
------------------------------------------------------------------------
Autor versión original:
Este documento fue escrito originalmente por Jeffrey P. Lanza
y esta basado en la información del Boletín de Seguridad de
Microsoft MS03-039.
------------------------------------------------------------------------
El *Departamento de Seguridad en Cómputo/UNAM-CERT* agradece el
apoyo en la elaboración, revisión y traducción de éste boletín a:
* Jesús Ramón Jiménez Rojas (jrojas en seguridad unam mx)
------------------------------------------------------------------------
INFORMACIÓN
===========
Éste documento se encuentra disponible en su formato original en la
siguiente dirección:
http://www.cert.org/advisories/CA-2003-23.html <
http://www.cert.org/advisories/CA-2003-23.html>
La versión en español del documento se encuetra disponible en:
http://www.seguridad.unam.mx
http://www.unam-cert.unam.mx/Boletines/Boletines2003/boletin-UNAM-CERT-2003-023.html
Para mayor información acerca de éste boletín de seguridad contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : unam-cert en seguridad unam mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
- --
Juan Carlos Guel Lopez
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
DGSCA, UNAM E-mail: unam-cert en seguridad unam mx
Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43
Del. Coyoacan WWW: http://www.seguridad.unam.mx
04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQEVAwUBP1/BnnAvLUtwgRsVAQF73Qf9HvjHOepvWLSXO/2HKOYtW/dk/C3N3xxM
eoRm12UzYuEIbxlebLBe8Tx41er2VGabOXYUX0Hqz8UTH6L6pc783ztn2yYEOTJn
3xX4Rr9yBdGQFy22c3KROcVh7wAV1IOt7Q2EPepf+5t5OQb0rXwpMWNpJFdhhWl5
YmapT40YN/Mpi5m7MW4wdevmKUVup7HYKpdD6RfXyyc3NNG0T5Qe6Y3Z6DZLFC0q
tn7RVXYt2nctJYTCl2Cw1LkiOdTJs14PdV83tU8SzKuqISdTPQ3Hf1QfCAQ9ZYfd
dx8NNGRidSt9SZx+e9P179bqgd+DKBXWkU9slNbEqkK1vT+HuVUyfA==
=FgtE
-----END PGP SIGNATURE-----
--
Lista de soporte de LinuxPPP
Dirección email: Linux en linuxppp com
Dirección web: http://mail.linuxppp.com/mailman/listinfo/linux
Reglas de la lista: http://linuxppp.net/reglas.html