Denegación de servicio remota en Microsoft Windows 281215

28/12/2006 - 19:30 por Blanquita | Informe spam

Se ha publicado un código que aprovecha una vulnerabilidad que permite,
en remoto, hacer que Microsoft Windows deje de responder. Para que el
fallo tenga efecto, el atacante debe establecer una sesión nula con el
sistema objetivo, lo que mitiga en cierta forma la gravedad del problema.

El día 25 de diciembre se publicó un código que aprovecha un fallo
en el servicio "estación de trabajo" en la forma en la que maneja
peticiones RPC NetrWkstaUserEnum con un valor grande en el campo
maxlen. Si el atacante tiene acceso a este servicio y envía peticiones
especialmente manipuladas, el servicio svchost.exe consumiría toda la
memoria disponible y el sistema dejaría de responder. El problema se
ha confirmado en Windows 2000 y Windows XP SP2 totalmente parcheados,
aunque otros podrían verse afectados.

Debido a las condiciones de este fallo, es mucho más factible que los
ataques se lleven a cabo desde sistemas dentro de una misma red interna.

La misma persona que ha revelado el código (un/a polaco/a que se hace
llamar h07) hizo también público otro exploit a principios de diciembre.
El código permitía provocar una denegación de servicio a través de una
reserva de memoria incorrecta en función GetPrinterData. Para poder
aprovechar el fallo, un atacante debería tener acceso al puerto 445,
usado para manejar el protocolo NetBIOS.

Al contrario que el primero descrito, este código no representaba una
vulnerabilidad desconocida, sino que suponía una nueva forma de atacar
un fallo inherente a la implementación RPC en Windows, conocido desde
finales de 2005. Ya se sabía que este fallo era aprovechable a través
de la función PNP_GetDeviceList del servicio UPNP (Universal plug and
play).

Para ninguno de estos problemas existe parche oficial. Se recomienda
filtrar el acceso a los servicios vulnerables.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2986/comentar

Más Información:

RPC Memory Exhaustion
http://research.eeye.com/html/alert...51116.html

MS Windows Workstation Service NetrWkstaUserEnum() 0day Memory
Allocation Remote DoS Exploit
http://www.milw0rm.com/exploits/2879
Laboratorio Hispasec

http://www.hispasec.com/unaaldia/2986

Siga el debate

8 respuestas

Tengo una respuesta

DRAGON AGE™: INQUISITION – Matadragones

Leer las respuestas

#1 Blanquita

28/12/2006 - 19:43 | Informe spam

Mira, suplantador de porras, te lo he advertido y como yo no me corto la
lengua, ahí va lo prometido y mejor será que te lo metas en tu podrida
cabeza... ¡¡¡ME CAGO EN TU MADREEEEEEEEEEEEE!!!
"Blanquita" escribió en el mensaje
news:

Se ha publicado un código que aprovecha una vulnerabilidad que permite,
en remoto, hacer que Microsoft Windows deje de responder. Para que el
fallo tenga efecto, el atacante debe establecer una sesión nula con el
sistema objetivo, lo que mitiga en cierta forma la gravedad del problema.

El día 25 de diciembre se publicó un código que aprovecha un fallo
en el servicio "estación de trabajo" en la forma en la que maneja
peticiones RPC NetrWkstaUserEnum con un valor grande en el campo
maxlen. Si el atacante tiene acceso a este servicio y envía peticiones
especialmente manipuladas, el servicio svchost.exe consumiría toda la
memoria disponible y el sistema dejaría de responder. El problema se
ha confirmado en Windows 2000 y Windows XP SP2 totalmente parcheados,
aunque otros podrían verse afectados.

Debido a las condiciones de este fallo, es mucho más factible que los
ataques se lleven a cabo desde sistemas dentro de una misma red interna.

La misma persona que ha revelado el código (un/a polaco/a que se hace
llamar h07) hizo también público otro exploit a principios de diciembre.
El código permitía provocar una denegación de servicio a través de una
reserva de memoria incorrecta en función GetPrinterData. Para poder
aprovechar el fallo, un atacante debería tener acceso al puerto 445,
usado para manejar el protocolo NetBIOS.

Al contrario que el primero descrito, este código no representaba una
vulnerabilidad desconocida, sino que suponía una nueva forma de atacar
un fallo inherente a la implementación RPC en Windows, conocido desde
finales de 2005. Ya se sabía que este fallo era aprovechable a través
de la función PNP_GetDeviceList del servicio UPNP (Universal plug and
play).

Para ninguno de estos problemas existe parche oficial. Se recomienda
filtrar el acceso a los servicios vulnerables.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2986/comentar

Más Información:

RPC Memory Exhaustion
http://research.eeye.com/html/alert...51116.html

MS Windows Workstation Service NetrWkstaUserEnum() 0day Memory
Allocation Remote DoS Exploit
http://www.milw0rm.com/exploits/2879
Laboratorio Hispasec

http://www.hispasec.com/unaaldia/2986

Leer las otras respuestas

Preguntas similares

Internet Explorer es propenso a un ataque de denegación de servicio (DoS), explotable en forma remota.

Busqueda sugerida :