Otro bonito agujero en tus Windows

icono para asuntos serios de seguridad Las tres últimas versiones de Windows (Vista, 2008 Server y Windows 7) son vulnerables a través del sistema de compartición de archivos e impresoras en red (SMB 2.0). Hablan de ello en Security by Default y en 48 bits y desde este último aseguran que, al contrario de lo que anuncia el descubridor de la vulnerabilidad, sería posible la ejecución remota de código. Mucha atención a los puertos 445 y 139 hasta que haya parche…

ACTUALIZACI?N: En Invasión Tux han publicado un Escaner-exploit para esta vulnerabilidad.

0-day en Internet Explorer 7

icono para asuntos serios de seguridad El Internet Storm Center de Sans informa de que se está explotando un 0-day que afecta a Internet Explorer 7 corriendo en máquinas con Windows XP o Windows Server 2003 aunque estas estén al día de parches incluso con las actualizaciones de ayer martes. Aún no han estudiado que medidas pueden mitigar esta vulnerabilidad y aconsejan usar otro navegador mientras se evalúa el alcance y la difusión de la amenaza.

ACTUALIZACI?N: Según Microsoft, la vulnerabilidad afecta a todas las versiones de Explorer y no sólo a la 7. La actualización en el apunte de SANS dice que también afecta a Vista y windows 2008 aunque por el momento no parece estar siendo explotada en estos sistemas.

ACTUALIZACI?N y II: Ala, ya tenemos parche. Seguro que ha sido porque Enrique Dans lo ha chillado (con una semana de retraso y cuando lo ha leído en la prensa generalista…) ¡Y es que no hay nada como ser influyente!¡Ay!

Más sobre el exploit de los servidores DNS de Microsoft

icono para asuntos serios de seguridad En una de las listas de seguridad dedicadas a la gestión de parches de sistemas de Microsoft (WSUS-PATCHMANAGEMENT) han dejado un mensaje hace unas horas poniendo en duda que el exploit público que utiliza la vulnerabilidad recientemente descubierta en los servidores DNS de Microsoft afecte S?LO a los servidores.

D’Amico es un colaborador habitual de esta lista así que, sin ánimo de alarmar a nadie, os copio el mensaje completo. Juzgad vosotros mismos y permaneced alerta a las novedades por si acaso.

Our security team has identified 25+ computers that have been exploited via RPC on a port higher than 1024. Their operating assumption is that it is this exploit but NONE of the stations are SERVER OS’s. I am quoting here from our security team.

(…I don’t think Microsoft is aware of the full extent of the problem just yet, or they’re simply refusing to acknowledge it. We were on the phone with two of their people today who seemed to be mostly clueless about this exploit. We’re currently doing forensics on a system (XP SP1) that appears to be compromised in the same manner, but it falls outside the range of the supposedly ‘exploitable’ operating systems.

The complexity of the attacks is also beginning to vary as it appears the exploit is slowly being spread in the underground. I promise I’m not doing this through some type of security voodoo, and am only calling it like I see it. The signature presently in place is very broad in nature and only looking for specific & successful RPC binds to ports greater than 1024, so it may in fact be detecting other unknown RPC exploits all together. Feel free to pass this on if you deem it necessary.”

My point is if we are assuming that only server OS’s are vulnerable to this exploit we may be in for a rude awakening. At least one of the compromised boxes was a fully patched WIN2K Pro desktop.

Would one of you MVP’s please inquire with MS as to their explanation for this set of events?

Once I know more I will share what I can.

Blaine A. D’Amico
University Systems Security Architect
The George Washington University
ISS/CIMS

0-Day en el servidor DNS de Microsoft

icono para asuntos serios de seguridad Microsoft lo anunciaba hace unas horas en una nota en la que no parecían darle demasiada importancia pero en eEye no piensan lo mismo y parece que el fallo ya se está explotando de forma activa. En el boletín de Microsoft se enumeran las medidas recomendadas para mitigar la vulnerabilidad mientras que no haya parche disponible. Basicamente se trata de lo siguiente:

  • Deshabilitar el control remoto sobre RPC de los servidores DNS susceptibles de ser afectados a través de la siguiente clave en el registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\RpcProtocol=dword:00000004
  • Bloquear en nuestro cortafuegos el tráfico no solicitado que tenga por destino los puertos entre el 1024 y el 5000 de los sistemas susceptibles de ser afectados.
  • Habilitar el filtro TCP/IP avanzado para bloquear el tráfico entrante no solicitado a los servidores con posibilidades de ser afectados.

No conozco a muchas empresas que usen los DNS de Microsoft salvo como apoyo (casi obligatorio, por desgracia) al Directorio Activo y estos servidores no suelen estar situados en zonas accesibles, así que imagino que la repercusión no será demasiado grande. Pero ya veremos…

ACTUALIZACI?N: En Hispasec han publicado un boletín de urgencia para darle la mayor difusión a la advertencia.

ACTUALIZACI?N (y II): Microsoft da más información acerca de esta vulnerabilidad y de las contramedidas propuestas.