[ARTICULO] (reposicion).... *** LEER ANTES DE PUBLICAR NINGUN MENSAJE ****

13/08/2003 - 17:48 por JM Tella Llop [MS MVP] · | Informe spam
VULNERABILIDAD Y EXPLOTACION DEL RPC



HISTORIA

Un agujero de seguridad en el RCP ("Remote Procedure Call", o llamada a procedimiento
remoto), fue detectado y corregido por Microsoft el día 16 de julio de 2003:
http://www.microsoft.com/security/s...3-026.asp.
Estan afectados todos los sistemas de nucleo NT (W2000, XP, W2003).
La actualizacion critica fué puesta a disposicion de los usuarios a través
de Windows Update y del sistema de actualizaciones automaticas.

Pocos días mas tarde, apareció publicado en paginas dedicadas al hacking,
como por ejemplo http://cyruxnet.com.ar/rpcxploit2.htm#windows un
exploit (programa malicioso para usar o explotar una vulnerabilidad)
llamado DCOM el cual era capaz de provocar un desbordamiento de
buffer en un maquina remota al objeto de tomar control de ella.

El metodo, con el exploit anterior, es de lo mas sencillo:

dcom 1 direccion_IP
telnet direccion_ip 4444

mediante los dos comandos anteriores, cualquier malintencionado
tomará control de nuestra maquina con los privilegios de Local System,
es decir con el maximo nivel de privilegios existente.

A partir de ese momento, podrá hacer en nuestra maquina lo que desee.

Simultaneamente, el dia 11 de Agosto aparece un gusano (worm) que explota
tambien dicha vulnerabilidad. Este gusano, "W32.blaster", en sí,
no es peligroso comparado con la potencialidad del peligro de
acceso manual descrito anteriormente.


PELIGROS REALES


El peligro real, es que cualquiera, en cualquier momento,
ha tomado control de nuestra maquina.

Desde ese momento, nuestra maquina deja de ser nuestra:
puede ser usada con cualquier fin que el atacante desee.
Es conocido desde hace años PC's conquistados y que sin
que sus propietarios se aperciban de nada, son reutilizados
para redistribucion de pornografía, para envios de correos
masivos (spam), o bien pasan a engrosar las listas de PC's
zombies, las cuales se venden por internet, para realizar
ataques a servidores de la red cuando son despertados
por el atacante.
Se usan para ataques de denegacion de servicio a servidores
de empresas, corporaciones, organismos o bien con fines
terroristas a grandes servidores de internet.


SINTOMATOLOGIA

En el momento actual, cualquier maquina que no haya aplicado en
su día el parche de Microsoft ms03-026 o que no haya tenido activado
siempre un cortafuegos habrá sido atacada: bien manualmente
por un atacamente malicioso (cualquier niño es capaz de usar
dicha vulnerabilidad con el exploit), o bien por el gusano w32.blaster
-o alguna de sus variantes- los cuales se reproducen exponencialmente.
Su grado de difusion es muy elevado.


Los sintomas son:

1) Windows nos informa de un error en el sistema RPC.
2) A continuancion aparece una ventana que nos comunica
un error grave del sistema y que procederá a reiniciarse el sistema
a los 50 segundos, empezando una cuenta de tiempo regresiva hasta 0.

NOTA: Aparece además un error del RPC en rojo en el visor de sucesos de Windows.

Por cada vez que veamos esos mensajes, o aparezca el error en el visor de sucesos,
nuestra maquina ha sido accedida y conquistada de nuevo con exito.

Dichos sintomas, son debidos a un error del propio exploit, o del propio
gusano. Si no cometiese dicho error, tampoco nos daríamos cuenta
que hemos sido atacados. Es importante esta nota, ya que probablemente
salgan versiones más refinadas del exploit que sean capaces de operar
sin que el usuario perciba nada.


ANALISIS DE LAS SOLUCIONES

A la vista de lo anterior, no existe una solucion, ni puede existir si nuestra
maquina ha sido conquistada:

* En el mejor de los casos, unicamente habremos sido atacados por el gusano.
Es trivial deducir, que en este caso, cualquier antivirus actualizado a fecha posterior
al 12 de Agosto del 2003, será capaz de eliminarlo.

* Nadie puede garantizarnos, que si hemos sido atacados con exito una
vez al menos por el gusano, no hayamos sido atacados en algun otro
momento por alguna persona maliciosa.
En este caso hemos perdido ya el control de nuestro PC.

La unica alternativa fiable es el formateo de la maquina previa copia de
seguridad de los datos, y nueva instalacion del sistema operativo.

En la actualidad, las paginas de antivirus dan dos alternativas:

* Explican el funcionamiento y la eliminacion del gusano.
* Contradictoriamente, informan con el titulo de IMPORTANTE, que las
empresas y corporaciones deberán formatear las maquinas afectadas.

Este ultimo punto, el cual está de acuerdo por el analisis previo que he
realizado, me parece contradictorio por parte de las casas de antivirus al
diferenciar los PC's de uso domestico a los PC's empresariales.
Entiendo, que si un PC empresarial debe formatearse, el mismo consejo
debe darse a un PC Domestico, maxime, cuando en un PC Domestico
podemos tener informacion de la cual no tengamos copia de seguridad e
informacion personal "sensible". A nivel empresarial, las copias de seguridad
existen, y entiendo que el grado de confidencialidad es tan importante,
como el grado de confidencial de la informacion de nuestros PC's domesticos.


MAQUINAS POTENCIALMENTE AFECTADAS


* Sistemas de nucleo NT, W2000, XP o W2003.

* Todas aquellas que estaban o han estado algun momento sin cortafuegos
activado, inclusive "durante" la instalacion del sistema operativo si teniamos
conectado el cable de red a la conexion a Internet.

* Y que no hayan aplicado el parche MS03-26 de Windows Update o del
avisador de actualizaciones criticas.

El firewall incorporado en XP / W2003 protege correctamente y no son
conocidas vulnerabilidades de él en dos años que lleva XP en el mercado.
Del resto de firewalls de terceros, son conocidas, y existen exploits,
decenas de vulnerabilidades. Hoy mismo han sido publicados en foros
de hacking nuevas vulnerabilidades del Zone Alarm, y durante los ultimos
meses han sido publicadas varias del firewall de Sygate.

Igualmente, debemos recordar, que existen informaciones contradictorias
de la posible proteccion que nos puede ofrecer un router ADSL en multipuesto.
Erroneamente se cree que al estar en multipuesto, y por tanto al existir una
traduccion de direcciones en el router, estaremos protegidos ya que acturará
de cortafuegos. Esta creencia es erronea por los siguientes motivos:

1) Un router ADSL no actua de cortafuegos. Unicamente tiene filtros o bien
traslacion de direcciones. No es comparable a la seguridad de un firewall.

2) La mayoría de los routers ADSL tienen definido un "default workstation",
por lo cual, al menos una de las maquinas de nuestra red será totalmente
alcanzable desde internet. Si una lo es, a partir de ella lo seran todas.

3) Existen exploits que son capaces de usar vulnerabilidades del firmware
de los routers ADSL, por lo cual cualquier atacante malintencionado podrá
usar dichos exploits para penetrar en nuestra red local.


CONCLUSIONES


A la vista de lo anterior, podemos sacar las siguientes conclusiones:

* En principo los potencialmente afectados deberían formatear e instalar
en limpio el sistema operativo. Esto puede tener una sola excepción:

Al dia de hoy (13 de Agosto de 2003), no se conoce un exploit que no
provoque indirectamente los mensajes de error citados en la parte
de SINTOMATOLOGIA. Probablemente en poco tiempo existiran variantes
del exploit que operen totalmente ocultas al usuario, por lo que no podemos
deducir que si no ha habido un reinicio de nuestra maquina no hayamos
sido conquistados.


CONSEJOS DE INSTALACION

* Instalar siempre con la conexion a Internet desconectada.
Es decir, en las maquinas con acceso directo a Internet (router ADSL, cable,
etc). el cable de red a Internet debe estar desconectado ya que durante
la instalacion y posterior primer inicio del sistema, son todavía vulnerables
al no estar activado el cortafuegos.

* Antes de conectar los cables a Internet, o bien en el momento de configurar
la conexion telefonica, comprobar que el cortafuegos de XP / W2003 esté activo
(boton derecho sobre la conexion de red, propiedades, pestaña de avanzado,
y verificar que el casillero de "proteger mi conexion" esté activado).
En el resto de maquinas, instalar previamente un cortafuegos de
terceros (ultimas versiones).

* Inmediatemente, aplicar todos los parches de seguridad o parches criticos
de WindowsUpdate. Si existen SP (Service Packs) a los sistemas operativos
estos deben ser lo primeros en aplicarse.


NOTA FINAL
-

Independiente de las vulnerabilidades, las cuales, y no sirve como disculpa a
Microsoft o a Linux, son inherentes a cualquier sistema operativo pasado,
presente o futuro debemos fijarnos igualmente en los errores que "nosotros"
como usuarios cometemos.

Vamos a ceñirnos en este caso al sistema de mas difusion a
nivel domestico: Windows XP.

* Windows XP viene configurado por defecto con el cortafuegos activo.
En el momento que usamos cualquier asistente y nos pregunta por la
conexion a Internet, activará el cortafuegos en dicha interface de red o
conexion telefonica. (existen salvedades a esto en maquinas 'multihomed'
con multiples interfaces de red, pero no es el caso de un usuario domestico).

* Windows XP tiene el mecanismo de actualizaciones automaticas.

Por tanto, repasemos los errores que como usuarios hemos
comentido en caso de ser vulnerables:

1) Desactivar el cortafuegos. Esto es muy corriente en aquellos inconscientes
(no hay otra definicion), que debido a que el uso de un cortafuegos impide
ciertas comunicaciones servidoras (lo mas normal es el envio de archivos
a través de messenger, por ejemplo), en vez de configurar dicho firewall
correctamente para permitir el uso de esas aplicaciones
simplemente lo desactivan.

2) No hacer caso a las actualizaciones automaticas.

3) No pasar nunca por las paginas de mantenimiento de Windows Update.


/* sarcasmo con proposito hiriente
hay que ser brutos
sarcasmo con proposito hiriente */


Y recordemos, que la informatica, es y cada vez más, igual que la
industria real: si no pasamos una revision de nuestro automovil
perdemos la garantia. Si no respetamos las normas de trafico,
y sobre todo de "sentido comun" ocurren accidentes.

En informatica es similar. No solo debemos dejar activos los
mecanismos que el fabricante del sistema ha ideado para la
proteccion y la seguridad sino que debemos igualmente ser
responsables del mantenimiento de nuestro sistema.

No sirve para nada tener un antivirus, por ejemplo,
-y aunque no venga al hilo del presente articulo-,
sino usamos siempre el "sentido comun".
Los virus son nuevos cada dia, mucho de ellos son mutaciones
de versiones anteriores. Hasta que un virus no alcanza una
propagacion fuera del ambito local, las casas de antivirus
no proceden a preparar una vacuna. Por tanto, y aunque se use antivirus,
siempre estaremos desprotegidos contra los nuevos virus.

Solo existe una alternativa: "sentido comun".





Jose Manuel Tella Llop
MS MVP - DTS
jmtella@compuserve.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

Preguntas similare

Leer las respuestas

#1 Antonio Lopez
13/08/2003 - 18:40 | Informe spam
mi duda que detiene el ICF
Yo probe el exploit y entra a maquinas con el ICF de XP activo
el exploit logra establecer el shell entre la el atacante y la victima

Antonio Lopez



"JM Tella Llop [MS MVP] ·" wrote in message
news:
VULNERABILIDAD Y EXPLOTACION DEL RPC



HISTORIA

Un agujero de seguridad en el RCP ("Remote Procedure Call", o llamada a
procedimiento
remoto), fue detectado y corregido por Microsoft el día 16 de julio de 2003:
http://www.microsoft.com/security/s...3-026.asp.
Estan afectados todos los sistemas de nucleo NT (W2000, XP, W2003).
La actualizacion critica fué puesta a disposicion de los usuarios a través
de Windows Update y del sistema de actualizaciones automaticas.

Pocos días mas tarde, apareció publicado en paginas dedicadas al hacking,
como por ejemplo http://cyruxnet.com.ar/rpcxploit2.htm#windows un
exploit (programa malicioso para usar o explotar una vulnerabilidad)
llamado DCOM el cual era capaz de provocar un desbordamiento de
buffer en un maquina remota al objeto de tomar control de ella.

El metodo, con el exploit anterior, es de lo mas sencillo:

dcom 1 direccion_IP
telnet direccion_ip 4444

mediante los dos comandos anteriores, cualquier malintencionado
tomará control de nuestra maquina con los privilegios de Local System,
es decir con el maximo nivel de privilegios existente.

A partir de ese momento, podrá hacer en nuestra maquina lo que desee.

Simultaneamente, el dia 11 de Agosto aparece un gusano (worm) que explota
tambien dicha vulnerabilidad. Este gusano, "W32.blaster", en sí,
no es peligroso comparado con la potencialidad del peligro de
acceso manual descrito anteriormente.


PELIGROS REALES


El peligro real, es que cualquiera, en cualquier momento,
ha tomado control de nuestra maquina.

Desde ese momento, nuestra maquina deja de ser nuestra:
puede ser usada con cualquier fin que el atacante desee.
Es conocido desde hace años PC's conquistados y que sin
que sus propietarios se aperciban de nada, son reutilizados
para redistribucion de pornografía, para envios de correos
masivos (spam), o bien pasan a engrosar las listas de PC's
zombies, las cuales se venden por internet, para realizar
ataques a servidores de la red cuando son despertados
por el atacante.
Se usan para ataques de denegacion de servicio a servidores
de empresas, corporaciones, organismos o bien con fines
terroristas a grandes servidores de internet.


SINTOMATOLOGIA

En el momento actual, cualquier maquina que no haya aplicado en
su día el parche de Microsoft ms03-026 o que no haya tenido activado
siempre un cortafuegos habrá sido atacada: bien manualmente
por un atacamente malicioso (cualquier niño es capaz de usar
dicha vulnerabilidad con el exploit), o bien por el gusano w32.blaster
-o alguna de sus variantes- los cuales se reproducen exponencialmente.
Su grado de difusion es muy elevado.


Los sintomas son:

1) Windows nos informa de un error en el sistema RPC.
2) A continuancion aparece una ventana que nos comunica
un error grave del sistema y que procederá a reiniciarse el sistema
a los 50 segundos, empezando una cuenta de tiempo regresiva hasta 0.

NOTA: Aparece además un error del RPC en rojo en el visor de sucesos de
Windows.

Por cada vez que veamos esos mensajes, o aparezca el error en el visor de
sucesos,
nuestra maquina ha sido accedida y conquistada de nuevo con exito.

Dichos sintomas, son debidos a un error del propio exploit, o del propio
gusano. Si no cometiese dicho error, tampoco nos daríamos cuenta
que hemos sido atacados. Es importante esta nota, ya que probablemente
salgan versiones más refinadas del exploit que sean capaces de operar
sin que el usuario perciba nada.


ANALISIS DE LAS SOLUCIONES

A la vista de lo anterior, no existe una solucion, ni puede existir si
nuestra
maquina ha sido conquistada:

* En el mejor de los casos, unicamente habremos sido atacados por el
gusano.
Es trivial deducir, que en este caso, cualquier antivirus actualizado a
fecha posterior
al 12 de Agosto del 2003, será capaz de eliminarlo.

* Nadie puede garantizarnos, que si hemos sido atacados con exito una
vez al menos por el gusano, no hayamos sido atacados en algun otro
momento por alguna persona maliciosa.
En este caso hemos perdido ya el control de nuestro PC.

La unica alternativa fiable es el formateo de la maquina previa copia de
seguridad de los datos, y nueva instalacion del sistema operativo.

En la actualidad, las paginas de antivirus dan dos alternativas:

* Explican el funcionamiento y la eliminacion del gusano.
* Contradictoriamente, informan con el titulo de IMPORTANTE, que las
empresas y corporaciones deberán formatear las maquinas afectadas.

Este ultimo punto, el cual está de acuerdo por el analisis previo que he
realizado, me parece contradictorio por parte de las casas de antivirus al
diferenciar los PC's de uso domestico a los PC's empresariales.
Entiendo, que si un PC empresarial debe formatearse, el mismo consejo
debe darse a un PC Domestico, maxime, cuando en un PC Domestico
podemos tener informacion de la cual no tengamos copia de seguridad e
informacion personal "sensible". A nivel empresarial, las copias de
seguridad
existen, y entiendo que el grado de confidencialidad es tan importante,
como el grado de confidencial de la informacion de nuestros PC's domesticos.


MAQUINAS POTENCIALMENTE AFECTADAS


* Sistemas de nucleo NT, W2000, XP o W2003.

* Todas aquellas que estaban o han estado algun momento sin cortafuegos
activado, inclusive "durante" la instalacion del sistema operativo si
teniamos
conectado el cable de red a la conexion a Internet.

* Y que no hayan aplicado el parche MS03-26 de Windows Update o del
avisador de actualizaciones criticas.

El firewall incorporado en XP / W2003 protege correctamente y no son
conocidas vulnerabilidades de él en dos años que lleva XP en el mercado.
Del resto de firewalls de terceros, son conocidas, y existen exploits,
decenas de vulnerabilidades. Hoy mismo han sido publicados en foros
de hacking nuevas vulnerabilidades del Zone Alarm, y durante los ultimos
meses han sido publicadas varias del firewall de Sygate.

Igualmente, debemos recordar, que existen informaciones contradictorias
de la posible proteccion que nos puede ofrecer un router ADSL en
multipuesto.
Erroneamente se cree que al estar en multipuesto, y por tanto al existir una
traduccion de direcciones en el router, estaremos protegidos ya que acturará
de cortafuegos. Esta creencia es erronea por los siguientes motivos:

1) Un router ADSL no actua de cortafuegos. Unicamente tiene filtros o bien
traslacion de direcciones. No es comparable a la seguridad de un firewall.

2) La mayoría de los routers ADSL tienen definido un "default workstation",
por lo cual, al menos una de las maquinas de nuestra red será totalmente
alcanzable desde internet. Si una lo es, a partir de ella lo seran todas.

3) Existen exploits que son capaces de usar vulnerabilidades del firmware
de los routers ADSL, por lo cual cualquier atacante malintencionado podrá
usar dichos exploits para penetrar en nuestra red local.


CONCLUSIONES


A la vista de lo anterior, podemos sacar las siguientes conclusiones:

* En principo los potencialmente afectados deberían formatear e instalar
en limpio el sistema operativo. Esto puede tener una sola excepción:

Al dia de hoy (13 de Agosto de 2003), no se conoce un exploit que no
provoque indirectamente los mensajes de error citados en la parte
de SINTOMATOLOGIA. Probablemente en poco tiempo existiran variantes
del exploit que operen totalmente ocultas al usuario, por lo que no podemos
deducir que si no ha habido un reinicio de nuestra maquina no hayamos
sido conquistados.


CONSEJOS DE INSTALACION

* Instalar siempre con la conexion a Internet desconectada.
Es decir, en las maquinas con acceso directo a Internet (router ADSL, cable,
etc). el cable de red a Internet debe estar desconectado ya que durante
la instalacion y posterior primer inicio del sistema, son todavía
vulnerables
al no estar activado el cortafuegos.

* Antes de conectar los cables a Internet, o bien en el momento de
configurar
la conexion telefonica, comprobar que el cortafuegos de XP / W2003 esté
activo
(boton derecho sobre la conexion de red, propiedades, pestaña de avanzado,
y verificar que el casillero de "proteger mi conexion" esté activado).
En el resto de maquinas, instalar previamente un cortafuegos de
terceros (ultimas versiones).

* Inmediatemente, aplicar todos los parches de seguridad o parches criticos
de WindowsUpdate. Si existen SP (Service Packs) a los sistemas operativos
estos deben ser lo primeros en aplicarse.


NOTA FINAL
-

Independiente de las vulnerabilidades, las cuales, y no sirve como disculpa
a
Microsoft o a Linux, son inherentes a cualquier sistema operativo pasado,
presente o futuro debemos fijarnos igualmente en los errores que "nosotros"
como usuarios cometemos.

Vamos a ceñirnos en este caso al sistema de mas difusion a
nivel domestico: Windows XP.

* Windows XP viene configurado por defecto con el cortafuegos activo.
En el momento que usamos cualquier asistente y nos pregunta por la
conexion a Internet, activará el cortafuegos en dicha interface de red o
conexion telefonica. (existen salvedades a esto en maquinas 'multihomed'
con multiples interfaces de red, pero no es el caso de un usuario
domestico).

* Windows XP tiene el mecanismo de actualizaciones automaticas.

Por tanto, repasemos los errores que como usuarios hemos
comentido en caso de ser vulnerables:

1) Desactivar el cortafuegos. Esto es muy corriente en aquellos
inconscientes
(no hay otra definicion), que debido a que el uso de un cortafuegos impide
ciertas comunicaciones servidoras (lo mas normal es el envio de archivos
a través de messenger, por ejemplo), en vez de configurar dicho firewall
correctamente para permitir el uso de esas aplicaciones
simplemente lo desactivan.

2) No hacer caso a las actualizaciones automaticas.

3) No pasar nunca por las paginas de mantenimiento de Windows Update.


/* sarcasmo con proposito hiriente
hay que ser brutos
sarcasmo con proposito hiriente */


Y recordemos, que la informatica, es y cada vez más, igual que la
industria real: si no pasamos una revision de nuestro automovil
perdemos la garantia. Si no respetamos las normas de trafico,
y sobre todo de "sentido comun" ocurren accidentes.

En informatica es similar. No solo debemos dejar activos los
mecanismos que el fabricante del sistema ha ideado para la
proteccion y la seguridad sino que debemos igualmente ser
responsables del mantenimiento de nuestro sistema.

No sirve para nada tener un antivirus, por ejemplo,
-y aunque no venga al hilo del presente articulo-,
sino usamos siempre el "sentido comun".
Los virus son nuevos cada dia, mucho de ellos son mutaciones
de versiones anteriores. Hasta que un virus no alcanza una
propagacion fuera del ambito local, las casas de antivirus
no proceden a preparar una vacuna. Por tanto, y aunque se use antivirus,
siempre estaremos desprotegidos contra los nuevos virus.

Solo existe una alternativa: "sentido comun".





Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.
Respuesta Responder a este mensaje
#2 JM Tella Llop [MS MVP] ·
13/08/2003 - 18:41 | Informe spam
Yo probe el exploit y entra a maquinas con el ICF de XP activo



No es posible.

Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.





"Antonio Lopez" wrote in message news:
mi duda que detiene el ICF
Yo probe el exploit y entra a maquinas con el ICF de XP activo
el exploit logra establecer el shell entre la el atacante y la victima

Antonio Lopez



"JM Tella Llop [MS MVP] ·" wrote in message
news:
VULNERABILIDAD Y EXPLOTACION DEL RPC



HISTORIA

Un agujero de seguridad en el RCP ("Remote Procedure Call", o llamada a
procedimiento
remoto), fue detectado y corregido por Microsoft el día 16 de julio de 2003:
http://www.microsoft.com/security/s...3-026.asp.
Estan afectados todos los sistemas de nucleo NT (W2000, XP, W2003).
La actualizacion critica fué puesta a disposicion de los usuarios a través
de Windows Update y del sistema de actualizaciones automaticas.

Pocos días mas tarde, apareció publicado en paginas dedicadas al hacking,
como por ejemplo http://cyruxnet.com.ar/rpcxploit2.htm#windows un
exploit (programa malicioso para usar o explotar una vulnerabilidad)
llamado DCOM el cual era capaz de provocar un desbordamiento de
buffer en un maquina remota al objeto de tomar control de ella.

El metodo, con el exploit anterior, es de lo mas sencillo:

dcom 1 direccion_IP
telnet direccion_ip 4444

mediante los dos comandos anteriores, cualquier malintencionado
tomará control de nuestra maquina con los privilegios de Local System,
es decir con el maximo nivel de privilegios existente.

A partir de ese momento, podrá hacer en nuestra maquina lo que desee.

Simultaneamente, el dia 11 de Agosto aparece un gusano (worm) que explota
tambien dicha vulnerabilidad. Este gusano, "W32.blaster", en sí,
no es peligroso comparado con la potencialidad del peligro de
acceso manual descrito anteriormente.


PELIGROS REALES


El peligro real, es que cualquiera, en cualquier momento,
ha tomado control de nuestra maquina.

Desde ese momento, nuestra maquina deja de ser nuestra:
puede ser usada con cualquier fin que el atacante desee.
Es conocido desde hace años PC's conquistados y que sin
que sus propietarios se aperciban de nada, son reutilizados
para redistribucion de pornografía, para envios de correos
masivos (spam), o bien pasan a engrosar las listas de PC's
zombies, las cuales se venden por internet, para realizar
ataques a servidores de la red cuando son despertados
por el atacante.
Se usan para ataques de denegacion de servicio a servidores
de empresas, corporaciones, organismos o bien con fines
terroristas a grandes servidores de internet.


SINTOMATOLOGIA

En el momento actual, cualquier maquina que no haya aplicado en
su día el parche de Microsoft ms03-026 o que no haya tenido activado
siempre un cortafuegos habrá sido atacada: bien manualmente
por un atacamente malicioso (cualquier niño es capaz de usar
dicha vulnerabilidad con el exploit), o bien por el gusano w32.blaster
-o alguna de sus variantes- los cuales se reproducen exponencialmente.
Su grado de difusion es muy elevado.


Los sintomas son:

1) Windows nos informa de un error en el sistema RPC.
2) A continuancion aparece una ventana que nos comunica
un error grave del sistema y que procederá a reiniciarse el sistema
a los 50 segundos, empezando una cuenta de tiempo regresiva hasta 0.

NOTA: Aparece además un error del RPC en rojo en el visor de sucesos de
Windows.

Por cada vez que veamos esos mensajes, o aparezca el error en el visor de
sucesos,
nuestra maquina ha sido accedida y conquistada de nuevo con exito.

Dichos sintomas, son debidos a un error del propio exploit, o del propio
gusano. Si no cometiese dicho error, tampoco nos daríamos cuenta
que hemos sido atacados. Es importante esta nota, ya que probablemente
salgan versiones más refinadas del exploit que sean capaces de operar
sin que el usuario perciba nada.


ANALISIS DE LAS SOLUCIONES

A la vista de lo anterior, no existe una solucion, ni puede existir si
nuestra
maquina ha sido conquistada:

* En el mejor de los casos, unicamente habremos sido atacados por el
gusano.
Es trivial deducir, que en este caso, cualquier antivirus actualizado a
fecha posterior
al 12 de Agosto del 2003, será capaz de eliminarlo.

* Nadie puede garantizarnos, que si hemos sido atacados con exito una
vez al menos por el gusano, no hayamos sido atacados en algun otro
momento por alguna persona maliciosa.
En este caso hemos perdido ya el control de nuestro PC.

La unica alternativa fiable es el formateo de la maquina previa copia de
seguridad de los datos, y nueva instalacion del sistema operativo.

En la actualidad, las paginas de antivirus dan dos alternativas:

* Explican el funcionamiento y la eliminacion del gusano.
* Contradictoriamente, informan con el titulo de IMPORTANTE, que las
empresas y corporaciones deberán formatear las maquinas afectadas.

Este ultimo punto, el cual está de acuerdo por el analisis previo que he
realizado, me parece contradictorio por parte de las casas de antivirus al
diferenciar los PC's de uso domestico a los PC's empresariales.
Entiendo, que si un PC empresarial debe formatearse, el mismo consejo
debe darse a un PC Domestico, maxime, cuando en un PC Domestico
podemos tener informacion de la cual no tengamos copia de seguridad e
informacion personal "sensible". A nivel empresarial, las copias de
seguridad
existen, y entiendo que el grado de confidencialidad es tan importante,
como el grado de confidencial de la informacion de nuestros PC's domesticos.


MAQUINAS POTENCIALMENTE AFECTADAS


* Sistemas de nucleo NT, W2000, XP o W2003.

* Todas aquellas que estaban o han estado algun momento sin cortafuegos
activado, inclusive "durante" la instalacion del sistema operativo si
teniamos
conectado el cable de red a la conexion a Internet.

* Y que no hayan aplicado el parche MS03-26 de Windows Update o del
avisador de actualizaciones criticas.

El firewall incorporado en XP / W2003 protege correctamente y no son
conocidas vulnerabilidades de él en dos años que lleva XP en el mercado.
Del resto de firewalls de terceros, son conocidas, y existen exploits,
decenas de vulnerabilidades. Hoy mismo han sido publicados en foros
de hacking nuevas vulnerabilidades del Zone Alarm, y durante los ultimos
meses han sido publicadas varias del firewall de Sygate.

Igualmente, debemos recordar, que existen informaciones contradictorias
de la posible proteccion que nos puede ofrecer un router ADSL en
multipuesto.
Erroneamente se cree que al estar en multipuesto, y por tanto al existir una
traduccion de direcciones en el router, estaremos protegidos ya que acturará
de cortafuegos. Esta creencia es erronea por los siguientes motivos:

1) Un router ADSL no actua de cortafuegos. Unicamente tiene filtros o bien
traslacion de direcciones. No es comparable a la seguridad de un firewall.

2) La mayoría de los routers ADSL tienen definido un "default workstation",
por lo cual, al menos una de las maquinas de nuestra red será totalmente
alcanzable desde internet. Si una lo es, a partir de ella lo seran todas.

3) Existen exploits que son capaces de usar vulnerabilidades del firmware
de los routers ADSL, por lo cual cualquier atacante malintencionado podrá
usar dichos exploits para penetrar en nuestra red local.


CONCLUSIONES


A la vista de lo anterior, podemos sacar las siguientes conclusiones:

* En principo los potencialmente afectados deberían formatear e instalar
en limpio el sistema operativo. Esto puede tener una sola excepción:

Al dia de hoy (13 de Agosto de 2003), no se conoce un exploit que no
provoque indirectamente los mensajes de error citados en la parte
de SINTOMATOLOGIA. Probablemente en poco tiempo existiran variantes
del exploit que operen totalmente ocultas al usuario, por lo que no podemos
deducir que si no ha habido un reinicio de nuestra maquina no hayamos
sido conquistados.


CONSEJOS DE INSTALACION

* Instalar siempre con la conexion a Internet desconectada.
Es decir, en las maquinas con acceso directo a Internet (router ADSL, cable,
etc). el cable de red a Internet debe estar desconectado ya que durante
la instalacion y posterior primer inicio del sistema, son todavía
vulnerables
al no estar activado el cortafuegos.

* Antes de conectar los cables a Internet, o bien en el momento de
configurar
la conexion telefonica, comprobar que el cortafuegos de XP / W2003 esté
activo
(boton derecho sobre la conexion de red, propiedades, pestaña de avanzado,
y verificar que el casillero de "proteger mi conexion" esté activado).
En el resto de maquinas, instalar previamente un cortafuegos de
terceros (ultimas versiones).

* Inmediatemente, aplicar todos los parches de seguridad o parches criticos
de WindowsUpdate. Si existen SP (Service Packs) a los sistemas operativos
estos deben ser lo primeros en aplicarse.


NOTA FINAL
-

Independiente de las vulnerabilidades, las cuales, y no sirve como disculpa
a
Microsoft o a Linux, son inherentes a cualquier sistema operativo pasado,
presente o futuro debemos fijarnos igualmente en los errores que "nosotros"
como usuarios cometemos.

Vamos a ceñirnos en este caso al sistema de mas difusion a
nivel domestico: Windows XP.

* Windows XP viene configurado por defecto con el cortafuegos activo.
En el momento que usamos cualquier asistente y nos pregunta por la
conexion a Internet, activará el cortafuegos en dicha interface de red o
conexion telefonica. (existen salvedades a esto en maquinas 'multihomed'
con multiples interfaces de red, pero no es el caso de un usuario
domestico).

* Windows XP tiene el mecanismo de actualizaciones automaticas.

Por tanto, repasemos los errores que como usuarios hemos
comentido en caso de ser vulnerables:

1) Desactivar el cortafuegos. Esto es muy corriente en aquellos
inconscientes
(no hay otra definicion), que debido a que el uso de un cortafuegos impide
ciertas comunicaciones servidoras (lo mas normal es el envio de archivos
a través de messenger, por ejemplo), en vez de configurar dicho firewall
correctamente para permitir el uso de esas aplicaciones
simplemente lo desactivan.

2) No hacer caso a las actualizaciones automaticas.

3) No pasar nunca por las paginas de mantenimiento de Windows Update.


/* sarcasmo con proposito hiriente
hay que ser brutos
sarcasmo con proposito hiriente */


Y recordemos, que la informatica, es y cada vez más, igual que la
industria real: si no pasamos una revision de nuestro automovil
perdemos la garantia. Si no respetamos las normas de trafico,
y sobre todo de "sentido comun" ocurren accidentes.

En informatica es similar. No solo debemos dejar activos los
mecanismos que el fabricante del sistema ha ideado para la
proteccion y la seguridad sino que debemos igualmente ser
responsables del mantenimiento de nuestro sistema.

No sirve para nada tener un antivirus, por ejemplo,
-y aunque no venga al hilo del presente articulo-,
sino usamos siempre el "sentido comun".
Los virus son nuevos cada dia, mucho de ellos son mutaciones
de versiones anteriores. Hasta que un virus no alcanza una
propagacion fuera del ambito local, las casas de antivirus
no proceden a preparar una vacuna. Por tanto, y aunque se use antivirus,
siempre estaremos desprotegidos contra los nuevos virus.

Solo existe una alternativa: "sentido comun".





Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.







Respuesta Responder a este mensaje
#3 Antonio Lopez
13/08/2003 - 19:03 | Informe spam
esa es mi duda...Pruebalo el nuevo exploit de Cyruxnet establece el shell y
cuando das Net Start para listar los servicios activos
aparece el ICF que esta activo


Antonio

"JM Tella Llop [MS MVP] ·" wrote in message
news:#
Yo probe el exploit y entra a maquinas con el ICF de XP activo



No es posible.

Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.





"Antonio Lopez" wrote in message
news:
mi duda que detiene el ICF
Yo probe el exploit y entra a maquinas con el ICF de XP activo
el exploit logra establecer el shell entre la el atacante y la victima

Antonio Lopez



"JM Tella Llop [MS MVP] ·" wrote in message
news:
VULNERABILIDAD Y EXPLOTACION DEL RPC



HISTORIA

Un agujero de seguridad en el RCP ("Remote Procedure Call", o llamada a
procedimiento
remoto), fue detectado y corregido por Microsoft el día 16 de julio de


2003:
http://www.microsoft.com/security/s...3-026.asp.
Estan afectados todos los sistemas de nucleo NT (W2000, XP, W2003).
La actualizacion critica fué puesta a disposicion de los usuarios a través
de Windows Update y del sistema de actualizaciones automaticas.

Pocos días mas tarde, apareció publicado en paginas dedicadas al hacking,
como por ejemplo http://cyruxnet.com.ar/rpcxploit2.htm#windows un
exploit (programa malicioso para usar o explotar una vulnerabilidad)
llamado DCOM el cual era capaz de provocar un desbordamiento de
buffer en un maquina remota al objeto de tomar control de ella.

El metodo, con el exploit anterior, es de lo mas sencillo:

dcom 1 direccion_IP
telnet direccion_ip 4444

mediante los dos comandos anteriores, cualquier malintencionado
tomará control de nuestra maquina con los privilegios de Local System,
es decir con el maximo nivel de privilegios existente.

A partir de ese momento, podrá hacer en nuestra maquina lo que desee.

Simultaneamente, el dia 11 de Agosto aparece un gusano (worm) que explota
tambien dicha vulnerabilidad. Este gusano, "W32.blaster", en sí,
no es peligroso comparado con la potencialidad del peligro de
acceso manual descrito anteriormente.


PELIGROS REALES


El peligro real, es que cualquiera, en cualquier momento,
ha tomado control de nuestra maquina.

Desde ese momento, nuestra maquina deja de ser nuestra:
puede ser usada con cualquier fin que el atacante desee.
Es conocido desde hace años PC's conquistados y que sin
que sus propietarios se aperciban de nada, son reutilizados
para redistribucion de pornografía, para envios de correos
masivos (spam), o bien pasan a engrosar las listas de PC's
zombies, las cuales se venden por internet, para realizar
ataques a servidores de la red cuando son despertados
por el atacante.
Se usan para ataques de denegacion de servicio a servidores
de empresas, corporaciones, organismos o bien con fines
terroristas a grandes servidores de internet.


SINTOMATOLOGIA

En el momento actual, cualquier maquina que no haya aplicado en
su día el parche de Microsoft ms03-026 o que no haya tenido activado
siempre un cortafuegos habrá sido atacada: bien manualmente
por un atacamente malicioso (cualquier niño es capaz de usar
dicha vulnerabilidad con el exploit), o bien por el gusano w32.blaster
-o alguna de sus variantes- los cuales se reproducen exponencialmente.
Su grado de difusion es muy elevado.


Los sintomas son:

1) Windows nos informa de un error en el sistema RPC.
2) A continuancion aparece una ventana que nos comunica
un error grave del sistema y que procederá a reiniciarse el sistema
a los 50 segundos, empezando una cuenta de tiempo regresiva hasta 0.

NOTA: Aparece además un error del RPC en rojo en el visor de sucesos de
Windows.

Por cada vez que veamos esos mensajes, o aparezca el error en el visor de
sucesos,
nuestra maquina ha sido accedida y conquistada de nuevo con exito.

Dichos sintomas, son debidos a un error del propio exploit, o del propio
gusano. Si no cometiese dicho error, tampoco nos daríamos cuenta
que hemos sido atacados. Es importante esta nota, ya que probablemente
salgan versiones más refinadas del exploit que sean capaces de operar
sin que el usuario perciba nada.


ANALISIS DE LAS SOLUCIONES

A la vista de lo anterior, no existe una solucion, ni puede existir si
nuestra
maquina ha sido conquistada:

* En el mejor de los casos, unicamente habremos sido atacados por el
gusano.
Es trivial deducir, que en este caso, cualquier antivirus actualizado a
fecha posterior
al 12 de Agosto del 2003, será capaz de eliminarlo.

* Nadie puede garantizarnos, que si hemos sido atacados con exito una
vez al menos por el gusano, no hayamos sido atacados en algun otro
momento por alguna persona maliciosa.
En este caso hemos perdido ya el control de nuestro PC.

La unica alternativa fiable es el formateo de la maquina previa copia de
seguridad de los datos, y nueva instalacion del sistema operativo.

En la actualidad, las paginas de antivirus dan dos alternativas:

* Explican el funcionamiento y la eliminacion del gusano.
* Contradictoriamente, informan con el titulo de IMPORTANTE, que las
empresas y corporaciones deberán formatear las maquinas afectadas.

Este ultimo punto, el cual está de acuerdo por el analisis previo que he
realizado, me parece contradictorio por parte de las casas de antivirus al
diferenciar los PC's de uso domestico a los PC's empresariales.
Entiendo, que si un PC empresarial debe formatearse, el mismo consejo
debe darse a un PC Domestico, maxime, cuando en un PC Domestico
podemos tener informacion de la cual no tengamos copia de seguridad e
informacion personal "sensible". A nivel empresarial, las copias de
seguridad
existen, y entiendo que el grado de confidencialidad es tan importante,
como el grado de confidencial de la informacion de nuestros PC's


domesticos.


MAQUINAS POTENCIALMENTE AFECTADAS


* Sistemas de nucleo NT, W2000, XP o W2003.

* Todas aquellas que estaban o han estado algun momento sin cortafuegos
activado, inclusive "durante" la instalacion del sistema operativo si
teniamos
conectado el cable de red a la conexion a Internet.

* Y que no hayan aplicado el parche MS03-26 de Windows Update o del
avisador de actualizaciones criticas.

El firewall incorporado en XP / W2003 protege correctamente y no son
conocidas vulnerabilidades de él en dos años que lleva XP en el mercado.
Del resto de firewalls de terceros, son conocidas, y existen exploits,
decenas de vulnerabilidades. Hoy mismo han sido publicados en foros
de hacking nuevas vulnerabilidades del Zone Alarm, y durante los ultimos
meses han sido publicadas varias del firewall de Sygate.

Igualmente, debemos recordar, que existen informaciones contradictorias
de la posible proteccion que nos puede ofrecer un router ADSL en
multipuesto.
Erroneamente se cree que al estar en multipuesto, y por tanto al existir


una
traduccion de direcciones en el router, estaremos protegidos ya que


acturará
de cortafuegos. Esta creencia es erronea por los siguientes motivos:

1) Un router ADSL no actua de cortafuegos. Unicamente tiene filtros o


bien
traslacion de direcciones. No es comparable a la seguridad de un firewall.

2) La mayoría de los routers ADSL tienen definido un "default


workstation",
por lo cual, al menos una de las maquinas de nuestra red será totalmente
alcanzable desde internet. Si una lo es, a partir de ella lo seran todas.

3) Existen exploits que son capaces de usar vulnerabilidades del firmware
de los routers ADSL, por lo cual cualquier atacante malintencionado podrá
usar dichos exploits para penetrar en nuestra red local.


CONCLUSIONES


A la vista de lo anterior, podemos sacar las siguientes conclusiones:

* En principo los potencialmente afectados deberían formatear e instalar
en limpio el sistema operativo. Esto puede tener una sola excepción:

Al dia de hoy (13 de Agosto de 2003), no se conoce un exploit que no
provoque indirectamente los mensajes de error citados en la parte
de SINTOMATOLOGIA. Probablemente en poco tiempo existiran variantes
del exploit que operen totalmente ocultas al usuario, por lo que no


podemos
deducir que si no ha habido un reinicio de nuestra maquina no hayamos
sido conquistados.


CONSEJOS DE INSTALACION

* Instalar siempre con la conexion a Internet desconectada.
Es decir, en las maquinas con acceso directo a Internet (router ADSL,


cable,
etc). el cable de red a Internet debe estar desconectado ya que


durante
la instalacion y posterior primer inicio del sistema, son todavía
vulnerables
al no estar activado el cortafuegos.

* Antes de conectar los cables a Internet, o bien en el momento de
configurar
la conexion telefonica, comprobar que el cortafuegos de XP / W2003 esté
activo
(boton derecho sobre la conexion de red, propiedades, pestaña de avanzado,
y verificar que el casillero de "proteger mi conexion" esté activado).
En el resto de maquinas, instalar previamente un cortafuegos de
terceros (ultimas versiones).

* Inmediatemente, aplicar todos los parches de seguridad o parches


criticos
de WindowsUpdate. Si existen SP (Service Packs) a los sistemas operativos
estos deben ser lo primeros en aplicarse.


NOTA FINAL
-

Independiente de las vulnerabilidades, las cuales, y no sirve como


disculpa
a
Microsoft o a Linux, son inherentes a cualquier sistema operativo pasado,
presente o futuro debemos fijarnos igualmente en los errores que


"nosotros"
como usuarios cometemos.

Vamos a ceñirnos en este caso al sistema de mas difusion a
nivel domestico: Windows XP.

* Windows XP viene configurado por defecto con el cortafuegos activo.
En el momento que usamos cualquier asistente y nos pregunta por la
conexion a Internet, activará el cortafuegos en dicha interface de red o
conexion telefonica. (existen salvedades a esto en maquinas 'multihomed'
con multiples interfaces de red, pero no es el caso de un usuario
domestico).

* Windows XP tiene el mecanismo de actualizaciones automaticas.

Por tanto, repasemos los errores que como usuarios hemos
comentido en caso de ser vulnerables:

1) Desactivar el cortafuegos. Esto es muy corriente en aquellos
inconscientes
(no hay otra definicion), que debido a que el uso de un cortafuegos impide
ciertas comunicaciones servidoras (lo mas normal es el envio de archivos
a través de messenger, por ejemplo), en vez de configurar dicho firewall
correctamente para permitir el uso de esas aplicaciones
simplemente lo desactivan.

2) No hacer caso a las actualizaciones automaticas.

3) No pasar nunca por las paginas de mantenimiento de Windows Update.


/* sarcasmo con proposito hiriente
hay que ser brutos
sarcasmo con proposito hiriente */


Y recordemos, que la informatica, es y cada vez más, igual que la
industria real: si no pasamos una revision de nuestro automovil
perdemos la garantia. Si no respetamos las normas de trafico,
y sobre todo de "sentido comun" ocurren accidentes.

En informatica es similar. No solo debemos dejar activos los
mecanismos que el fabricante del sistema ha ideado para la
proteccion y la seguridad sino que debemos igualmente ser
responsables del mantenimiento de nuestro sistema.

No sirve para nada tener un antivirus, por ejemplo,
-y aunque no venga al hilo del presente articulo-,
sino usamos siempre el "sentido comun".
Los virus son nuevos cada dia, mucho de ellos son mutaciones
de versiones anteriores. Hasta que un virus no alcanza una
propagacion fuera del ambito local, las casas de antivirus
no proceden a preparar una vacuna. Por tanto, y aunque se use antivirus,
siempre estaremos desprotegidos contra los nuevos virus.

Solo existe una alternativa: "sentido comun".





Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y


no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no


rights.
You assume all risk for your use.







Respuesta Responder a este mensaje
#4 Juan F.R.
13/08/2003 - 19:38 | Informe spam
Hola Jose Manuel. Un buen artículo, sí señor.

Tan sólo un comentario: para esa gente que no saben qué hacer y no quieren
formatear, que quieren ir ( como he visto en alguna respuesta ) a una casa
antivirus para pasarse un scan-online o bajar una utilidad, tendríamos que
darles la manera de bloquear el reinicio automático. Ayer, en mi sofocada
lectura de todos los hilos, me pareció ver una instrucción "shutdown -algo"
que decían evitaba el reinicio. Hoy no la veo y no la recuerdo. Hay una
usuaria del foro seguridad, Clara B. , que justamente pregunta eso.

También podrían usar la máquina infectada para bajarse desde el catálogo los
parches de seguridad, salvarlos a cd y instalar más tranquilamente tras el
formateo.

Un saludo.

"JM Tella Llop [MS MVP] ·" escribió en el mensaje
news:
VULNERABILIDAD Y EXPLOTACION DEL RPC



HISTORIA

Un agujero de seguridad en el RCP ("Remote Procedure Call", o llamada a
procedimiento
remoto), fue detectado y corregido por Microsoft el día 16 de julio de 2003:
http://www.microsoft.com/security/s...3-026.asp.
Estan afectados todos los sistemas de nucleo NT (W2000, XP, W2003).
La actualizacion critica fué puesta a disposicion de los usuarios a través
de Windows Update y del sistema de actualizaciones automaticas.

Pocos días mas tarde, apareció publicado en paginas dedicadas al hacking,
como por ejemplo http://cyruxnet.com.ar/rpcxploit2.htm#windows un
exploit (programa malicioso para usar o explotar una vulnerabilidad)
llamado DCOM el cual era capaz de provocar un desbordamiento de
buffer en un maquina remota al objeto de tomar control de ella.

El metodo, con el exploit anterior, es de lo mas sencillo:

dcom 1 direccion_IP
telnet direccion_ip 4444

mediante los dos comandos anteriores, cualquier malintencionado
tomará control de nuestra maquina con los privilegios de Local System,
es decir con el maximo nivel de privilegios existente.

A partir de ese momento, podrá hacer en nuestra maquina lo que desee.

Simultaneamente, el dia 11 de Agosto aparece un gusano (worm) que explota
tambien dicha vulnerabilidad. Este gusano, "W32.blaster", en sí,
no es peligroso comparado con la potencialidad del peligro de
acceso manual descrito anteriormente.


PELIGROS REALES


El peligro real, es que cualquiera, en cualquier momento,
ha tomado control de nuestra maquina.

Desde ese momento, nuestra maquina deja de ser nuestra:
puede ser usada con cualquier fin que el atacante desee.
Es conocido desde hace años PC's conquistados y que sin
que sus propietarios se aperciban de nada, son reutilizados
para redistribucion de pornografía, para envios de correos
masivos (spam), o bien pasan a engrosar las listas de PC's
zombies, las cuales se venden por internet, para realizar
ataques a servidores de la red cuando son despertados
por el atacante.
Se usan para ataques de denegacion de servicio a servidores
de empresas, corporaciones, organismos o bien con fines
terroristas a grandes servidores de internet.


SINTOMATOLOGIA

En el momento actual, cualquier maquina que no haya aplicado en
su día el parche de Microsoft ms03-026 o que no haya tenido activado
siempre un cortafuegos habrá sido atacada: bien manualmente
por un atacamente malicioso (cualquier niño es capaz de usar
dicha vulnerabilidad con el exploit), o bien por el gusano w32.blaster
-o alguna de sus variantes- los cuales se reproducen exponencialmente.
Su grado de difusion es muy elevado.


Los sintomas son:

1) Windows nos informa de un error en el sistema RPC.
2) A continuancion aparece una ventana que nos comunica
un error grave del sistema y que procederá a reiniciarse el sistema
a los 50 segundos, empezando una cuenta de tiempo regresiva hasta 0.

NOTA: Aparece además un error del RPC en rojo en el visor de sucesos de
Windows.

Por cada vez que veamos esos mensajes, o aparezca el error en el visor de
sucesos,
nuestra maquina ha sido accedida y conquistada de nuevo con exito.

Dichos sintomas, son debidos a un error del propio exploit, o del propio
gusano. Si no cometiese dicho error, tampoco nos daríamos cuenta
que hemos sido atacados. Es importante esta nota, ya que probablemente
salgan versiones más refinadas del exploit que sean capaces de operar
sin que el usuario perciba nada.


ANALISIS DE LAS SOLUCIONES

A la vista de lo anterior, no existe una solucion, ni puede existir si
nuestra
maquina ha sido conquistada:

* En el mejor de los casos, unicamente habremos sido atacados por el
gusano.
Es trivial deducir, que en este caso, cualquier antivirus actualizado a
fecha posterior
al 12 de Agosto del 2003, será capaz de eliminarlo.

* Nadie puede garantizarnos, que si hemos sido atacados con exito una
vez al menos por el gusano, no hayamos sido atacados en algun otro
momento por alguna persona maliciosa.
En este caso hemos perdido ya el control de nuestro PC.

La unica alternativa fiable es el formateo de la maquina previa copia de
seguridad de los datos, y nueva instalacion del sistema operativo.

En la actualidad, las paginas de antivirus dan dos alternativas:

* Explican el funcionamiento y la eliminacion del gusano.
* Contradictoriamente, informan con el titulo de IMPORTANTE, que las
empresas y corporaciones deberán formatear las maquinas afectadas.

Este ultimo punto, el cual está de acuerdo por el analisis previo que he
realizado, me parece contradictorio por parte de las casas de antivirus al
diferenciar los PC's de uso domestico a los PC's empresariales.
Entiendo, que si un PC empresarial debe formatearse, el mismo consejo
debe darse a un PC Domestico, maxime, cuando en un PC Domestico
podemos tener informacion de la cual no tengamos copia de seguridad e
informacion personal "sensible". A nivel empresarial, las copias de
seguridad
existen, y entiendo que el grado de confidencialidad es tan importante,
como el grado de confidencial de la informacion de nuestros PC's domesticos.


MAQUINAS POTENCIALMENTE AFECTADAS


* Sistemas de nucleo NT, W2000, XP o W2003.

* Todas aquellas que estaban o han estado algun momento sin cortafuegos
activado, inclusive "durante" la instalacion del sistema operativo si
teniamos
conectado el cable de red a la conexion a Internet.

* Y que no hayan aplicado el parche MS03-26 de Windows Update o del
avisador de actualizaciones criticas.

El firewall incorporado en XP / W2003 protege correctamente y no son
conocidas vulnerabilidades de él en dos años que lleva XP en el mercado.
Del resto de firewalls de terceros, son conocidas, y existen exploits,
decenas de vulnerabilidades. Hoy mismo han sido publicados en foros
de hacking nuevas vulnerabilidades del Zone Alarm, y durante los ultimos
meses han sido publicadas varias del firewall de Sygate.

Igualmente, debemos recordar, que existen informaciones contradictorias
de la posible proteccion que nos puede ofrecer un router ADSL en
multipuesto.
Erroneamente se cree que al estar en multipuesto, y por tanto al existir una
traduccion de direcciones en el router, estaremos protegidos ya que acturará
de cortafuegos. Esta creencia es erronea por los siguientes motivos:

1) Un router ADSL no actua de cortafuegos. Unicamente tiene filtros o bien
traslacion de direcciones. No es comparable a la seguridad de un firewall.

2) La mayoría de los routers ADSL tienen definido un "default workstation",
por lo cual, al menos una de las maquinas de nuestra red será totalmente
alcanzable desde internet. Si una lo es, a partir de ella lo seran todas.

3) Existen exploits que son capaces de usar vulnerabilidades del firmware
de los routers ADSL, por lo cual cualquier atacante malintencionado podrá
usar dichos exploits para penetrar en nuestra red local.


CONCLUSIONES


A la vista de lo anterior, podemos sacar las siguientes conclusiones:

* En principo los potencialmente afectados deberían formatear e instalar
en limpio el sistema operativo. Esto puede tener una sola excepción:

Al dia de hoy (13 de Agosto de 2003), no se conoce un exploit que no
provoque indirectamente los mensajes de error citados en la parte
de SINTOMATOLOGIA. Probablemente en poco tiempo existiran variantes
del exploit que operen totalmente ocultas al usuario, por lo que no podemos
deducir que si no ha habido un reinicio de nuestra maquina no hayamos
sido conquistados.


CONSEJOS DE INSTALACION

* Instalar siempre con la conexion a Internet desconectada.
Es decir, en las maquinas con acceso directo a Internet (router ADSL, cable,
etc). el cable de red a Internet debe estar desconectado ya que durante
la instalacion y posterior primer inicio del sistema, son todavía
vulnerables
al no estar activado el cortafuegos.

* Antes de conectar los cables a Internet, o bien en el momento de
configurar
la conexion telefonica, comprobar que el cortafuegos de XP / W2003 esté
activo
(boton derecho sobre la conexion de red, propiedades, pestaña de avanzado,
y verificar que el casillero de "proteger mi conexion" esté activado).
En el resto de maquinas, instalar previamente un cortafuegos de
terceros (ultimas versiones).

* Inmediatemente, aplicar todos los parches de seguridad o parches criticos
de WindowsUpdate. Si existen SP (Service Packs) a los sistemas operativos
estos deben ser lo primeros en aplicarse.


NOTA FINAL
-

Independiente de las vulnerabilidades, las cuales, y no sirve como disculpa
a
Microsoft o a Linux, son inherentes a cualquier sistema operativo pasado,
presente o futuro debemos fijarnos igualmente en los errores que "nosotros"
como usuarios cometemos.

Vamos a ceñirnos en este caso al sistema de mas difusion a
nivel domestico: Windows XP.

* Windows XP viene configurado por defecto con el cortafuegos activo.
En el momento que usamos cualquier asistente y nos pregunta por la
conexion a Internet, activará el cortafuegos en dicha interface de red o
conexion telefonica. (existen salvedades a esto en maquinas 'multihomed'
con multiples interfaces de red, pero no es el caso de un usuario
domestico).

* Windows XP tiene el mecanismo de actualizaciones automaticas.

Por tanto, repasemos los errores que como usuarios hemos
comentido en caso de ser vulnerables:

1) Desactivar el cortafuegos. Esto es muy corriente en aquellos
inconscientes
(no hay otra definicion), que debido a que el uso de un cortafuegos impide
ciertas comunicaciones servidoras (lo mas normal es el envio de archivos
a través de messenger, por ejemplo), en vez de configurar dicho firewall
correctamente para permitir el uso de esas aplicaciones
simplemente lo desactivan.

2) No hacer caso a las actualizaciones automaticas.

3) No pasar nunca por las paginas de mantenimiento de Windows Update.


/* sarcasmo con proposito hiriente
hay que ser brutos
sarcasmo con proposito hiriente */


Y recordemos, que la informatica, es y cada vez más, igual que la
industria real: si no pasamos una revision de nuestro automovil
perdemos la garantia. Si no respetamos las normas de trafico,
y sobre todo de "sentido comun" ocurren accidentes.

En informatica es similar. No solo debemos dejar activos los
mecanismos que el fabricante del sistema ha ideado para la
proteccion y la seguridad sino que debemos igualmente ser
responsables del mantenimiento de nuestro sistema.

No sirve para nada tener un antivirus, por ejemplo,
-y aunque no venga al hilo del presente articulo-,
sino usamos siempre el "sentido comun".
Los virus son nuevos cada dia, mucho de ellos son mutaciones
de versiones anteriores. Hasta que un virus no alcanza una
propagacion fuera del ambito local, las casas de antivirus
no proceden a preparar una vacuna. Por tanto, y aunque se use antivirus,
siempre estaremos desprotegidos contra los nuevos virus.

Solo existe una alternativa: "sentido comun".





Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.
Respuesta Responder a este mensaje
#5 M a n u e l F.
13/08/2003 - 19:57 | Informe spam
Para para un reinicio o apagado:

shutdown -a

Saludos,

Manuel F.


"Juan F.R." escribió en el mensaje
news:
Hola Jose Manuel. Un buen artículo, sí señor.

Tan sólo un comentario: para esa gente que no saben qué hacer y no quieren
formatear, que quieren ir ( como he visto en alguna respuesta ) a una casa
antivirus para pasarse un scan-online o bajar una utilidad, tendríamos que
darles la manera de bloquear el reinicio automático. Ayer, en mi sofocada
lectura de todos los hilos, me pareció ver una instrucción


"shutdown -algo"
que decían evitaba el reinicio. Hoy no la veo y no la recuerdo. Hay una
usuaria del foro seguridad, Clara B. , que justamente pregunta eso.

También podrían usar la máquina infectada para bajarse desde el catálogo


los
parches de seguridad, salvarlos a cd y instalar más tranquilamente tras el
formateo.

Un saludo.

"JM Tella Llop [MS MVP] ·" escribió en el mensaje
news:
VULNERABILIDAD Y EXPLOTACION DEL RPC



HISTORIA

Un agujero de seguridad en el RCP ("Remote Procedure Call", o llamada a
procedimiento
remoto), fue detectado y corregido por Microsoft el día 16 de julio de


2003:
http://www.microsoft.com/security/s...3-026.asp.
Estan afectados todos los sistemas de nucleo NT (W2000, XP, W2003).
La actualizacion critica fué puesta a disposicion de los usuarios a través
de Windows Update y del sistema de actualizaciones automaticas.

Pocos días mas tarde, apareció publicado en paginas dedicadas al hacking,
como por ejemplo http://cyruxnet.com.ar/rpcxploit2.htm#windows un
exploit (programa malicioso para usar o explotar una vulnerabilidad)
llamado DCOM el cual era capaz de provocar un desbordamiento de
buffer en un maquina remota al objeto de tomar control de ella.

El metodo, con el exploit anterior, es de lo mas sencillo:

dcom 1 direccion_IP
telnet direccion_ip 4444

mediante los dos comandos anteriores, cualquier malintencionado
tomará control de nuestra maquina con los privilegios de Local System,
es decir con el maximo nivel de privilegios existente.

A partir de ese momento, podrá hacer en nuestra maquina lo que desee.

Simultaneamente, el dia 11 de Agosto aparece un gusano (worm) que explota
tambien dicha vulnerabilidad. Este gusano, "W32.blaster", en sí,
no es peligroso comparado con la potencialidad del peligro de
acceso manual descrito anteriormente.


PELIGROS REALES


El peligro real, es que cualquiera, en cualquier momento,
ha tomado control de nuestra maquina.

Desde ese momento, nuestra maquina deja de ser nuestra:
puede ser usada con cualquier fin que el atacante desee.
Es conocido desde hace años PC's conquistados y que sin
que sus propietarios se aperciban de nada, son reutilizados
para redistribucion de pornografía, para envios de correos
masivos (spam), o bien pasan a engrosar las listas de PC's
zombies, las cuales se venden por internet, para realizar
ataques a servidores de la red cuando son despertados
por el atacante.
Se usan para ataques de denegacion de servicio a servidores
de empresas, corporaciones, organismos o bien con fines
terroristas a grandes servidores de internet.


SINTOMATOLOGIA

En el momento actual, cualquier maquina que no haya aplicado en
su día el parche de Microsoft ms03-026 o que no haya tenido activado
siempre un cortafuegos habrá sido atacada: bien manualmente
por un atacamente malicioso (cualquier niño es capaz de usar
dicha vulnerabilidad con el exploit), o bien por el gusano w32.blaster
-o alguna de sus variantes- los cuales se reproducen exponencialmente.
Su grado de difusion es muy elevado.


Los sintomas son:

1) Windows nos informa de un error en el sistema RPC.
2) A continuancion aparece una ventana que nos comunica
un error grave del sistema y que procederá a reiniciarse el sistema
a los 50 segundos, empezando una cuenta de tiempo regresiva hasta 0.

NOTA: Aparece además un error del RPC en rojo en el visor de sucesos de
Windows.

Por cada vez que veamos esos mensajes, o aparezca el error en el visor de
sucesos,
nuestra maquina ha sido accedida y conquistada de nuevo con exito.

Dichos sintomas, son debidos a un error del propio exploit, o del propio
gusano. Si no cometiese dicho error, tampoco nos daríamos cuenta
que hemos sido atacados. Es importante esta nota, ya que probablemente
salgan versiones más refinadas del exploit que sean capaces de operar
sin que el usuario perciba nada.


ANALISIS DE LAS SOLUCIONES

A la vista de lo anterior, no existe una solucion, ni puede existir si
nuestra
maquina ha sido conquistada:

* En el mejor de los casos, unicamente habremos sido atacados por el
gusano.
Es trivial deducir, que en este caso, cualquier antivirus actualizado a
fecha posterior
al 12 de Agosto del 2003, será capaz de eliminarlo.

* Nadie puede garantizarnos, que si hemos sido atacados con exito una
vez al menos por el gusano, no hayamos sido atacados en algun otro
momento por alguna persona maliciosa.
En este caso hemos perdido ya el control de nuestro PC.

La unica alternativa fiable es el formateo de la maquina previa copia de
seguridad de los datos, y nueva instalacion del sistema operativo.

En la actualidad, las paginas de antivirus dan dos alternativas:

* Explican el funcionamiento y la eliminacion del gusano.
* Contradictoriamente, informan con el titulo de IMPORTANTE, que las
empresas y corporaciones deberán formatear las maquinas afectadas.

Este ultimo punto, el cual está de acuerdo por el analisis previo que he
realizado, me parece contradictorio por parte de las casas de antivirus al
diferenciar los PC's de uso domestico a los PC's empresariales.
Entiendo, que si un PC empresarial debe formatearse, el mismo consejo
debe darse a un PC Domestico, maxime, cuando en un PC Domestico
podemos tener informacion de la cual no tengamos copia de seguridad e
informacion personal "sensible". A nivel empresarial, las copias de
seguridad
existen, y entiendo que el grado de confidencialidad es tan importante,
como el grado de confidencial de la informacion de nuestros PC's


domesticos.


MAQUINAS POTENCIALMENTE AFECTADAS


* Sistemas de nucleo NT, W2000, XP o W2003.

* Todas aquellas que estaban o han estado algun momento sin cortafuegos
activado, inclusive "durante" la instalacion del sistema operativo si
teniamos
conectado el cable de red a la conexion a Internet.

* Y que no hayan aplicado el parche MS03-26 de Windows Update o del
avisador de actualizaciones criticas.

El firewall incorporado en XP / W2003 protege correctamente y no son
conocidas vulnerabilidades de él en dos años que lleva XP en el mercado.
Del resto de firewalls de terceros, son conocidas, y existen exploits,
decenas de vulnerabilidades. Hoy mismo han sido publicados en foros
de hacking nuevas vulnerabilidades del Zone Alarm, y durante los ultimos
meses han sido publicadas varias del firewall de Sygate.

Igualmente, debemos recordar, que existen informaciones contradictorias
de la posible proteccion que nos puede ofrecer un router ADSL en
multipuesto.
Erroneamente se cree que al estar en multipuesto, y por tanto al existir


una
traduccion de direcciones en el router, estaremos protegidos ya que


acturará
de cortafuegos. Esta creencia es erronea por los siguientes motivos:

1) Un router ADSL no actua de cortafuegos. Unicamente tiene filtros o


bien
traslacion de direcciones. No es comparable a la seguridad de un firewall.

2) La mayoría de los routers ADSL tienen definido un "default


workstation",
por lo cual, al menos una de las maquinas de nuestra red será totalmente
alcanzable desde internet. Si una lo es, a partir de ella lo seran todas.

3) Existen exploits que son capaces de usar vulnerabilidades del firmware
de los routers ADSL, por lo cual cualquier atacante malintencionado podrá
usar dichos exploits para penetrar en nuestra red local.


CONCLUSIONES


A la vista de lo anterior, podemos sacar las siguientes conclusiones:

* En principo los potencialmente afectados deberían formatear e instalar
en limpio el sistema operativo. Esto puede tener una sola excepción:

Al dia de hoy (13 de Agosto de 2003), no se conoce un exploit que no
provoque indirectamente los mensajes de error citados en la parte
de SINTOMATOLOGIA. Probablemente en poco tiempo existiran variantes
del exploit que operen totalmente ocultas al usuario, por lo que no


podemos
deducir que si no ha habido un reinicio de nuestra maquina no hayamos
sido conquistados.


CONSEJOS DE INSTALACION

* Instalar siempre con la conexion a Internet desconectada.
Es decir, en las maquinas con acceso directo a Internet (router ADSL,


cable,
etc). el cable de red a Internet debe estar desconectado ya que


durante
la instalacion y posterior primer inicio del sistema, son todavía
vulnerables
al no estar activado el cortafuegos.

* Antes de conectar los cables a Internet, o bien en el momento de
configurar
la conexion telefonica, comprobar que el cortafuegos de XP / W2003 esté
activo
(boton derecho sobre la conexion de red, propiedades, pestaña de avanzado,
y verificar que el casillero de "proteger mi conexion" esté activado).
En el resto de maquinas, instalar previamente un cortafuegos de
terceros (ultimas versiones).

* Inmediatemente, aplicar todos los parches de seguridad o parches


criticos
de WindowsUpdate. Si existen SP (Service Packs) a los sistemas operativos
estos deben ser lo primeros en aplicarse.


NOTA FINAL
-

Independiente de las vulnerabilidades, las cuales, y no sirve como


disculpa
a
Microsoft o a Linux, son inherentes a cualquier sistema operativo pasado,
presente o futuro debemos fijarnos igualmente en los errores que


"nosotros"
como usuarios cometemos.

Vamos a ceñirnos en este caso al sistema de mas difusion a
nivel domestico: Windows XP.

* Windows XP viene configurado por defecto con el cortafuegos activo.
En el momento que usamos cualquier asistente y nos pregunta por la
conexion a Internet, activará el cortafuegos en dicha interface de red o
conexion telefonica. (existen salvedades a esto en maquinas 'multihomed'
con multiples interfaces de red, pero no es el caso de un usuario
domestico).

* Windows XP tiene el mecanismo de actualizaciones automaticas.

Por tanto, repasemos los errores que como usuarios hemos
comentido en caso de ser vulnerables:

1) Desactivar el cortafuegos. Esto es muy corriente en aquellos
inconscientes
(no hay otra definicion), que debido a que el uso de un cortafuegos impide
ciertas comunicaciones servidoras (lo mas normal es el envio de archivos
a través de messenger, por ejemplo), en vez de configurar dicho firewall
correctamente para permitir el uso de esas aplicaciones
simplemente lo desactivan.

2) No hacer caso a las actualizaciones automaticas.

3) No pasar nunca por las paginas de mantenimiento de Windows Update.


/* sarcasmo con proposito hiriente
hay que ser brutos
sarcasmo con proposito hiriente */


Y recordemos, que la informatica, es y cada vez más, igual que la
industria real: si no pasamos una revision de nuestro automovil
perdemos la garantia. Si no respetamos las normas de trafico,
y sobre todo de "sentido comun" ocurren accidentes.

En informatica es similar. No solo debemos dejar activos los
mecanismos que el fabricante del sistema ha ideado para la
proteccion y la seguridad sino que debemos igualmente ser
responsables del mantenimiento de nuestro sistema.

No sirve para nada tener un antivirus, por ejemplo,
-y aunque no venga al hilo del presente articulo-,
sino usamos siempre el "sentido comun".
Los virus son nuevos cada dia, mucho de ellos son mutaciones
de versiones anteriores. Hasta que un virus no alcanza una
propagacion fuera del ambito local, las casas de antivirus
no proceden a preparar una vacuna. Por tanto, y aunque se use antivirus,
siempre estaremos desprotegidos contra los nuevos virus.

Solo existe una alternativa: "sentido comun".





Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y


no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no


rights.
You assume all risk for your use.






Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida