[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
--------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Computo
DGSCA- UNAM
BoletÃn de Seguridad UNAM-CERT 2003-028
Buffer Overflow en el Servicio de Estación de Trabajo de Windows
----------------------------------------------------------------------
El CERT/UNAM-CERT, a través de sus equipos de respuesta a
incidentes de Seguridad en Cómputo, han emitido éste boletÃn donde
informan de la existencia de una vulnerabilidad de buffer overflow
existente en el Servicio de Estación de Trabajo (Workstation) de
Microsoft Windows (WKSSVC.DLL).
Un intruso puede explotar esta vulnerabilidad de forma
remota ejecutando código arbitrario o causar una negación de servicio.
Fecha de Liberación: 11 de Noviembre de 2003
Ultima Revisión: - - - - -
Fuente: CERT/CC y diversos reportes de Equipos de
Respuesta a Incidentes, asà como Foros y
Listas de Discusión.
SISTEMAS AFECTADOS
------------------
* Microsoft Windows 2000 Service Pack 2, Service Pack 3, Service
Pack 4
* Microsoft Windows XP
* Microsoft Windows XP Service Pack 1
* Microsoft Windows XP Edición de 64-Bits
DESCRIPCIÃ?N
-----------
El BoletÃn de Seguridad de Microsoft MS03-049
<http://www.microsoft.com/technet/security/bulletin/MS03-049.asp>
discute un buffer overflow en el servicio de Estación de Trabajo de
Microsoft Windows que puede ser explotado a través de un mensaje de
red creado de forma maliciosa.
De acuerdo al BoletÃn de Seguridad AD20031111
<http://www.eeye.com/html/Research/Advisories/AD20031111.html>, de
eEye Digital, la vulnerabilidad es causada por una falla en la
funciones de administración de red del servicio DCE/RPC y una
función de inicio de sesión implementada en el Servicio de Estación
de Trabajo (WKSSVC.DLL). Varias funciones RPC permitirán el paso de
cadenas largas a la rutina vsprintf() que es utilizada para crear
entradas de registro. La rutina vsprintf() no realiza ninguna
comprobación de limites para los parámetros que crean una situación
de buffer overflow.
El CERT/UNAM-CERT esta dando un seguimiento a esta vulnerabilidad
como VU#567620 <http://www.kb.cert.org/vuls/id/567620>. Este número
de referencia corresponde al candidato CVE
<http://www.cve.mitre.org/> CAN-2003-0812
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0812>.
IMPACTO
-------
Un intruso podrÃa explotar esta vulnerabilidad para ejecutar código
arbitrario con privilegios a nivel sistema o causar una negación de
servicio. El vector de ataque y el impacto para esta vulnerabilidad
conduce a la automatización de ataques de código malicioso en forma
de gusanos de Internet.
SOLUCIÃ?N
--------
* Aplicar una Actualización del Distribuidor
Aplicar la actualización apropiada especificada en BoletÃn de
Seguridad de Microsoft MS03-049
<http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-049.asp>.
El Apéndice A contiene información proporcionada por los
distribuidores de éste boletÃn. Si un distribuidor en particular
reporta nueva información al CERT/UNAM-CERT, esta sección será
actualizada. Si un distribuidor no se encuentra listado a
continuación o en las notas de vulnerabilidad individuales significa
que no se ha recibo información por parte del mismo. Consulte
directamente a su distribuidor.
* Restringir el acceso
Se puede bloquear el acceso desde fuera del perÃmetro de red
bloqueando especÃficamente el acceso a los puertos 138, 139, y 445
(TCP y UDP). Esto limitará la exposición a los ataques. Sin embargo,
el bloqueo en el perÃmetro de la red no impedirá que intrusos desde
dentro del perÃmetro de la red puedan explotar la vulnerabilidad. Es
importante entender la configuración de red y los requerimientos de
servicios antes de decidir implementar los cambios apropiados.
* Deshabilitar el Servicio de Estación de Trabajo
Dependiendo de los requisitos del sitio, se puede deshabilitar el
servicio de la Estación de Trabajo de acuerdo a lo descrito en
MS03-049
<http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-049.asp>.
Deshabilitando el servicio de la Estación de Trabajo ayudará a
proteger contra ataques que intenten explotar esta vulnerabilidad,
pero también puede causar efectos secundarios indeseables. De
acuerdo al BoletÃn de la Seguridad de Microsoft, los impactos al
deshabilitar el servicio de Estación de Trabajo son los siguientes:
"Si el servicio de Estación de Trabajo es deshabilitado, el
sistema no puede conectarse a ningún recurso compartido de
archivo ni compartir recursos de impresión en una red. Se debe
utilizar esta solución temporal solamente en sistemas
independientes (como lo son muchos sistemas caseros) que no se
conectan a una red. Si el servicio de Estación de Trabajo es
deshabilitado, ningún servicio que dependa explÃcitamente de
este servicio no se iniciará, y un mensaje de error se
registrará el registro de sucesos del sistema. Los siguientes
servicios dependen del servicio de Estación de Trabajo:
* Alerta (Alerter)
* Examinador de Equipos (Browser)
* Messenger (Mensajero)
* Net Logon
* RPC Locator (Localizador RPC)
Estos servicios son requeridos para acceder a recursos en una
red y para realizar autenticación de dominio. La conectividad de
Internet y navegación en sistemas independientes, como por
ejemplo usuarios en conexiones de marcado (dial-up), en
conexiones DSL, o en conexiones cable modem, no deberÃan ser
afectadas si estos servicios son deshabilitados.
*Nota:* la herramienta Microsoft Baseline Security Analyzer no
funcionará si el servicio de Estación de Trabajo esta
deshabilitado. Si una aplicación requiere el servicio de
Estación de Trabajo, simplemente se debe rehabilitar el
servicio. Esto puede ser realizado cambiando el Tipo de Inicio
del servicio de Estación de Trabajo de nuevo a Automático y
reiniciar el sistema".
AP�NDICE A. Información de Distribuidores
------------------------------------------
El Apéndice A contiene información proporcionada por los
distribuidores de éste boletÃn. Si un distribuidor en particular
reporta nueva información al CERT/UNAM-CERT, esta sección será
actualizada. Si un distribuidor no se encuentra listado a
continuación o en las notas de vulnerabilidad individuales significa
que no se ha recibo información por parte del mismo. Consulte
directamente a su distribuidor.
* Microsoft Corp. <http://microsoft.com
Microsoft ha liberado el BoletÃn de Seguridad MS03-049
http://www.microsoft.com/technet/security/bulletin/MS03-049.asp
------------------------------------------------------------------------
Esta vulnerabilidad fue descubierta por eEye Digital Security y
reportada en el BoletÃn de Seguridad de Microsoft MS03-049.
------------------------------------------------------------------------
Autores de la Versión Original: *Jason A Rafail.
------------------------------------------------------------------------
El *Departamento de Seguridad en Cómputo/UNAM-CERT* agradece el
apoyo en la elaboración, revisión y traducción de éste boletÃn a:
* Omar Hernández Sarmiento (oherna en seguridad unam mx)
* Carlos Juárez Anguiano (cjuarez en seguridad unam mx)
* Jesús R. Jiménez Rojas (jrojas en seguridad unam mx)
------------------------------------------------------------------------
INFORMACIÃ?N
-----------
Ã?ste documento se encuentra disponible en su formato original en la
siguiente dirección:
http://www.cert.org/advisories/CA-2003-28.html
La versión en español del documento se encuentra disponible en:
http://www.seguridad.unam.mx
http://www.unam-cert.unam.mx/Boletines/Boletines2003/boletin-UNAM-CERT-2003-028.html
http://www.unam-cert.unam.mx/Boletines/Boletines2003/boletin-UNAM-CERT-2003-026.html
Para mayor información acerca de éste boletÃn de seguridad contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : unam-cert en seguridad unam mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
- --
Juan Carlos Guel Lopez
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
DGSCA, UNAM E-mail: unam-cert en seguridad unam mx
Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43
Del. Coyoacan WWW: http://www.seguridad.unam.mx
04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQEVAwUBP7GviXAvLUtwgRsVAQGrSQf+KLDBMYr2FVJkmK5EyIgy2HalLTBMJbnb
YjuZlmaJN7P5U7O3XzXIpR1uATa78xswd8iEI0pulPPMtabrju4SSlQHVjjTCAXc
qspGfTD6aNi8pL95efE0rGm6vWdI2tZvjK7ItxiwHFhzcgF2h1YXlppsUqs7fw4u
Y4lzVNVueUpv2magbYCeRmoIU9qxEC0tBWDYTkLCWhC8J3dZvJ6yeE7SWhtM1dY+
Byl4IM7p6d1z1qJd02BaOyh607Pvab/T7vr66r75iixecSZxIwD2yzU1mnw25JhK
R4Wh7X9MlheGVqQp84tBS/B00S+badlB8xrkCKPemrpf63vcinahlA==
=3Gyl
-----END PGP SIGNATURE-----
Lista de correo linux en opensource org mx
Preguntas linux-owner en opensource org mx
http://www.opensource.org.mx/