Ejecución de código arbitrario a través de RPC en servidor DNS de Microsoft Windows
Este es un boletín con carácter de urgencia debido a la gravedad del fallo. Se ha encontrado una vulnerabilidad en el sistema DNS de Microsoft Windows que puede ser aprovechada por atacantes remotos para ejecutar código en el sistema.
El problema se debe a un desbordamiento de memoria intermedia en la implementación de la interfaz RPC del servidor DNS (Domain Name System) de Windows a la hora de procesar peticiones mal formadas enviadas a un puerto entre el 1024 y 5000. Esto puede ser aprovechado por usuarios no autenticados para ejecutar código arbitrario con privilegios de SYSTEM (control total sobre el sistema) si se envía una petición especialmente manipulada al sistema vulnerable.
Sólo se ven afectados los sistemas que ejecuten este servicio (DNS), que suele ser la gama "server" de Microsoft. Desde algunas fuentes afirman que ya se están produciendo ataques intentando aprovechar el fallo.
Se recomienda deshabilitar la capacidad de manejo remoto sobre RPC para los servidores DNS o bloquear el tráfico entrante no solicitado entre los puertos 1024 y 5000.
Para deshabilitar la capacidad de manejo remoto sobre RPC, en el registro, en la rama:
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters"
se debe añadir un valor DWORD llamado "RpcProtocol" con el valor 4.
Nota Segu-Info: Son afectados Windows 2000 Server SP4, Windows Server 2003 SP1 y Windows Server 2003 SP2.
Windows 2000 Professional SP4, Windows XP SP2 y Windows Vista no son afectados.
Si se mantienen protegidos los puertos mencionados el ataque no surtirá efecto. Además es recomendable realizar el Workaround sugerido por Microsoft
Fuentes:
http://www.hispasec.com/unaaldia/3093/
http://www.microsoft.com/technet/security/advisory/935964.mspx
http://elladodelmal.blogspot.com/2007/04/una-seria.html
http://blogs.technet.com/msrc/archive/2007/04/12/microsoft-security-advisory-935964-posted.aspx
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1748
http://isc.sans.org/diary.html?storyid=2627
http://isc.sans.org/diary.html?storyid=2584
http://www.vsantivirus.com/ms-advisory-935964.htm
http://www.dshield.org/diary.html?storyid=2627
http://research.eeye.com/html/alerts/zeroday/20070407.html
El problema se debe a un desbordamiento de memoria intermedia en la implementación de la interfaz RPC del servidor DNS (Domain Name System) de Windows a la hora de procesar peticiones mal formadas enviadas a un puerto entre el 1024 y 5000. Esto puede ser aprovechado por usuarios no autenticados para ejecutar código arbitrario con privilegios de SYSTEM (control total sobre el sistema) si se envía una petición especialmente manipulada al sistema vulnerable.
Sólo se ven afectados los sistemas que ejecuten este servicio (DNS), que suele ser la gama "server" de Microsoft. Desde algunas fuentes afirman que ya se están produciendo ataques intentando aprovechar el fallo.
Se recomienda deshabilitar la capacidad de manejo remoto sobre RPC para los servidores DNS o bloquear el tráfico entrante no solicitado entre los puertos 1024 y 5000.
Para deshabilitar la capacidad de manejo remoto sobre RPC, en el registro, en la rama:
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters"
se debe añadir un valor DWORD llamado "RpcProtocol" con el valor 4.
Nota Segu-Info: Son afectados Windows 2000 Server SP4, Windows Server 2003 SP1 y Windows Server 2003 SP2.
Windows 2000 Professional SP4, Windows XP SP2 y Windows Vista no son afectados.
Si se mantienen protegidos los puertos mencionados el ataque no surtirá efecto. Además es recomendable realizar el Workaround sugerido por Microsoft
Fuentes:
http://www.hispasec.com/unaaldia/3093/
http://www.microsoft.com/technet/security/advisory/935964.mspx
http://elladodelmal.blogspot.com/2007/04/una-seria.html
http://blogs.technet.com/msrc/archive/2007/04/12/microsoft-security-advisory-935964-posted.aspx
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1748
http://isc.sans.org/diary.html?storyid=2627
http://isc.sans.org/diary.html?storyid=2584
http://www.vsantivirus.com/ms-advisory-935964.htm
http://www.dshield.org/diary.html?storyid=2627
http://research.eeye.com/html/alerts/zeroday/20070407.html
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!