La sigueinte informacion es publicada con fines educativos y para ilustrar de forma real el impacto que puede tener el no estar al dia con las actualizaciones de Microsoft.
Herramientas necesarias:
- Nmap
- Metasploit 3.1
- TFTP
Como funciona
El Remote Procedure Call (RPC) permite el intercambio de información entre equipos, y está presente por defecto en el protocolo TCP bajo el puerto 135 en Windows NT 4.0, 2000 y XP.
Existe una vulnerabilidad en la parte de RPC encargada del intercambio de mensajes sobre TCP/IP, que ocasiona que uno de ellos incorrectamente creado, permita a un atacante ejecutar cualquier código con los privilegios locales (Mi PC).
Para explotar esta vulnerabilidad un atacante debe establecer una conexión TCP/IP al RPC Endpoint Mapper remoto y enviar un mensaje malformado, que provoque un desbordamiento de búfer en la memoria, pudiendo ejecutar programas, ver o borrar información, o crear nuevas cuentas con todos los privilegios.
SOs que afecta:
- Microsoft Windows NT® 4.0
- Microsoft Windows NT 4.0 Terminal Services Edition
- Microsoft Windows 2000
- Microsoft Windows XP
- Microsoft Windows Server™ 2003
Como se explota
Debemos instalar y verificar que este corriendo nuestro Servidor TFTP.
Utilizamos nmap para realizar un escaneo de los dispositivos conectados a la red. Cualquier equipo con Widows y con el puerto 135 abierto es candidato a se explotado.
Posterior mente realizamos los pasos descritos en el siguiente video.
Contramedidas
Una forma rapida de solucionar esta vulnerabilidad es cerra el puerto 135, aunque es mucho mas recomendable actualizar el sistema operativo con el parche correspondiene y mantener al dia las actualizaciones de nuestros equipos.
Más información:
Microsoft Security Bulletin MS03-039
http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx
http://www.microsoft.com/security/security_bulletins/ms03-039.mspx
http://support.microsoft.com/?kbid=824146
0 comentarios:
Publicar un comentario