[Articulo] Blaster-Sasser: nuevos sistemas de INTRUSION. Planteamiento y soluciones (borrador)

JM gracias por el artículo (digan lo que digan)
Saludos :-)))

******************
"JM Tella Llop [MVP Windows]" escribió en el mensaje
news:%
SOBRE LAS NUEVAS MANERAS DE EXTRAER INFORMACION DE NUESTRAS MAQUINAS

Este artciulo viene a colación de las diversas desinformacion que se están
dando, y se dieron en el pasado "a proposito" en algunos medios de
comunicacion con respecto a vulnerabilidades, virus, gusanos, del estilo
Blaster, y en la actualidad del Sasster.

Quiero orientar el articulo, fundamentalmente a los usuarios domesticos. En
el ambito empresarial es otra historia, ya que las empresas tienen sus
propios mecanismos de seguridad, al igual que personal especializado que
juzgaran en cada caso, las fuga de informacion y la manera de atajarla así
como los medios a poner para resolver el problema. En estos ultimos casos,
la casuistica debe ser estudiada con detalle.

INTRODUCCION:
-

Pero a nivel domestico, tenemos una pregunta que hacernos: ¿es necesario
formatear el equipo ante la entrada de uno de estos gusanos?.

Esta es la pregunta formulada en terminos clasicos. Cualquier experto en
informatica os respondera inmediatamente: ESTA REALMENTE MAL FORMULADA LA
PREGUNTA.


La pregunta correcta debería ser: En caso de una intrusion fuerte, seria, en
manos de millones de delincuentes -script-kiddies- ¿debo formatear? ¿que mas
accciones de seguridad y para proteger mis datos debo tomar?


Antes de nada, vamos a definir el termino script-kiddie: niños idiotas en
castellano. Es gente sin o con poco conocimiento de informatica, dedicados
al vandalismo, y que se dedican a modificar, realizando un pequeño conjunto
de comandos -script- un exploit (programa malicioso para explotar una
vulnerabilidad) al objeto de conquistar una maquina y hacer en ella las
acciones que hayan pensado para su "script".

Esto es tan peligroso... que no hay una norma general de que es lo que
hacen. Se sabe lo que pueden hacer. Pero cada uno será diferente al
anterior.


ANTECEDENTES Y EXPLOITS AL ALCANCE DEL "PUBLICO"


Todos estos exploits, provienen de una vulnerabilidad, curiosamente unas
semanas mas tarde que haya sido publicada, resuelta y estando los parches a
disposicion del publico.

Ciñamonos, en una explicacion simple al caso del Blaster. (el Sasster es
identico):

Un agujero de seguridad en el RCP ("Remote Procedure Call", o llamada a
procedimiento remoto), fue detectado y corregido por Microsoft el día 16 de
julio de 2003:

http://www.microsoft.com/security/s...03-026.asp

Están afectados todos los sistemas de núcleo NT (W2000, XP, W2003).
La actualización crítica fue puesta a disposición de los usuarios a través
de Windows Update y del sistema de actualizaciones automáticas.

Pocos días más tarde, apareció publicado en páginas dedicadas al hacking,
como por ejemplo http://cyruxnet.com.ar/rpcxploit2.htm#windows, un exploit
(programa malicioso para usar o explotar una vulnerabilidad) llamado DCOM el
cual era capaz de provocar un desbordamiento de buffer en una máquina remota
al objeto de tomar control de ella.

El método, con el exploit anterior, es de lo más sencillo:

dcom 1 direccion_IP
telnet direccion_ip 4444



GRAVEDAD DE ESTE EXPLOIT


Fijemonos, que este exploit, NO ha metido ningun gusano. No es un gusano
sino un ataque directo. Alguien acaba de tomar control de nuestra maquina. A
partir de este momento, puede hacer lo que quiera: llevarse datos,
cambiarnos las claves, llevarse el fichero de claves, llevarse certificados
digitales de nuestra maquina, colocarnos un keylloger para pillar las
pulsaciones tecleadas en paginas seguras -paginas bancarias, transacciones
comerciales, etc-

Y lo que es mas grave: en nuestra maquina, todavia no ha aparecido la famosa
cuenta atras de un minuto que nos indicaria la presencia de Blaster o
Sasster. No hay ningun sintoma de que estemos infectados, o que hayan
entrado en nuestra maquina.

Unicamente cuando ese visitante malicioso se vaya. en ese momoento
aparecerá la famosa cuenta atras de un minuto. Pero el mal... ya está hecho.
Ya nos da igual.

Puede incluso ser peor: dejarnos un zombie p un troyanito hecho a medida
(los famosos rootkit, indetectables por su variedad y porque no hay
herramientas para ello), y continuar capturando informacion a posteriori.


Fijemonos en lo mas importante: no estamos infectados. Y si de casualidad,
además, nos infecta un gusano, ese pobre gusano es totalmente inocente. No
es peligroso no pasa nada grave.



PROBLEMA REAL
-

El problema en sí, es que hemos sufrido una intrusion por ser vulnerables.


Y demos gracias, a que precisamente nos enteramos de la intrusion debido a
la existencia del gusano. Si no hubiesen realizado el gusano, unicamente
exstiria el exploit. Tardarian meses en diagnosticar lo que está pasando.
Gracias precisamente a la existencia del gusano, las grandes casas de
antivirus han tomado cartas en el asunto, pero unicmanete a nivel que a
ellos les compete: eliminar el gusano.

No entran, ni pueden entrar en lo que nos haya podido pasar por haber sido
vulnerables, y por las intrusiones realizadas.


CIÑENDOS EN LA ACTUALIDAD AL SASSTER


La sintomatologia de que hemos sido vulnerables es simplemente un mensaje
similar a:

LSA Shell (Export Version) ha encontrado un problema
y debe cerrarse.

O bien mensajes del tipo:

Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM

Tiempo restante
para el apagado: xx:xx:xx

Mensaje
El proceso del sistema
C:\WINNT\system32\lsass.exe terminó
de forma inesperada indicando código 0
Windows debe reiniciar ahora.


Con una cuenta regresiva y la maquina se reinicia. COn esto indica que somo
vulnerables y por tanto, o bien ha sido un simple ataque del sasster, algo
totalmente inocuo, o bien hemos sufrido una intrusion.

Parece que es muy dificil, y es en lo que internamente nos escudamos, que
precisamente nuestra maquina haya sido objeto de tal intrusion. Por
desgracia, tal y como estan las cosas, esto ultimo es lo mas probable.

Paginas maliciosas llevan tiempo distribuyendo los exploits que permiten
intrusiones por rangos completos de IP. Totalmente mecanizados para que los
script-kiddies no tengan mucho trabajo que hacer y solo recolectar la
informacion.


Veamos pginas de "informacion" y de donde se pueden bajar dichos exploits:


Por ejemplo: http://cyruxnet.com.ar

Exploit para el LSASS (MS04-011) (25-04-2004)

Se trata de un nuevo exploit para otra de las vulnerabilidades del MS04-011,
la que se referenciaba como "LSASS Vulnerability"
Esta vulnerabilidad fue encontrada por la gente de eEye (AD20040413C) y
afecta a los Windows 2k/XP, el servicio afectado es el LSA (Local Security
Authority) Service (LSASRV.DLL).
El exploit causa un overflow
Se ven afectados los Windows 2k/XP que no esten parcheados con el parche del
MS04-011
Exploit: ms04011lsass.c (links externo a www.k-otik.com).

DSScan: Escaner para esta vulnerabilidad publicado por Foundstone antes de
aparecer el exploit.
Descargalo aquí

Actualización 26-04-2004 :
Versión compilada: ms04011lsass
/download/ms04011lsass.zip

Actualización 29-04-2004 :
exploit universal (2k/XP): HOD-ms04011-lsasrv-expl
http://cyruxnet.com.ar/download/HOD...v-expl.rar

Origen: www.k-otik.com
-



CONCLUSIONES


1) FORMATEAR

No por la existencia del gusano en si, o porque hayamos sido infectados.
Sino porque hemos sido vulnerables: se puede afirmar que uno de cada tres
ataques no es una infeccion del gusano, sino una intrusion en toda regla por
uno de los millones de script-kiddies que hay sin otro oficion ni beneficio
que realizar estos actos vandalicos.

2) CAMBIAR TODAS LAS CLAVES

Es enecesario cambiar todas las claves y usar claves nuevas.

Avisar a los servicios (bancarios, de emision de certificados, etc) y
cambiar en ellos las claves de acceso. Aunque no los hayamos utilizado
dirante la existencia del gusano, pero cualquier cookie, o informacion
alamcendad previamente en nuestra maquina ha podido salir a internet y pasar
en la actualidad a engrosar las listas de datos que posteriormente estos
script-kiddies, venden en el mismo internet.

3) La informacion confidencial, que tuviesemos, bien personal o bien
empresarial, puede que sea ahora del Dominio Publico.



Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

JM gracias por el artículo (digan lo que digan)
Saludos :-)))

******************
"JM Tella Llop [MVP Windows]" escribió en el mensaje
news:%
SOBRE LAS NUEVAS MANERAS DE EXTRAER INFORMACION DE NUESTRAS MAQUINAS

Este artciulo viene a colación de las diversas desinformacion que se están
dando, y se dieron en el pasado "a proposito" en algunos medios de
comunicacion con respecto a vulnerabilidades, virus, gusanos, del estilo
Blaster, y en la actualidad del Sasster.

Quiero orientar el articulo, fundamentalmente a los usuarios domesticos. En
el ambito empresarial es otra historia, ya que las empresas tienen sus
propios mecanismos de seguridad, al igual que personal especializado que
juzgaran en cada caso, las fuga de informacion y la manera de atajarla así
como los medios a poner para resolver el problema. En estos ultimos casos,
la casuistica debe ser estudiada con detalle.

INTRODUCCION:
-

Pero a nivel domestico, tenemos una pregunta que hacernos: ¿es necesario
formatear el equipo ante la entrada de uno de estos gusanos?.

Esta es la pregunta formulada en terminos clasicos. Cualquier experto en
informatica os respondera inmediatamente: ESTA REALMENTE MAL FORMULADA LA
PREGUNTA.


La pregunta correcta debería ser: En caso de una intrusion fuerte, seria, en
manos de millones de delincuentes -script-kiddies- ¿debo formatear? ¿que mas
accciones de seguridad y para proteger mis datos debo tomar?


Antes de nada, vamos a definir el termino script-kiddie: niños idiotas en
castellano. Es gente sin o con poco conocimiento de informatica, dedicados
al vandalismo, y que se dedican a modificar, realizando un pequeño conjunto
de comandos -script- un exploit (programa malicioso para explotar una
vulnerabilidad) al objeto de conquistar una maquina y hacer en ella las
acciones que hayan pensado para su "script".

Esto es tan peligroso... que no hay una norma general de que es lo que
hacen. Se sabe lo que pueden hacer. Pero cada uno será diferente al
anterior.


ANTECEDENTES Y EXPLOITS AL ALCANCE DEL "PUBLICO"


Todos estos exploits, provienen de una vulnerabilidad, curiosamente unas
semanas mas tarde que haya sido publicada, resuelta y estando los parches a
disposicion del publico.

Ciñamonos, en una explicacion simple al caso del Blaster. (el Sasster es
identico):

Un agujero de seguridad en el RCP ("Remote Procedure Call", o llamada a
procedimiento remoto), fue detectado y corregido por Microsoft el día 16 de
julio de 2003:

http://www.microsoft.com/security/s...03-026.asp

Están afectados todos los sistemas de núcleo NT (W2000, XP, W2003).
La actualización crítica fue puesta a disposición de los usuarios a través
de Windows Update y del sistema de actualizaciones automáticas.

Pocos días más tarde, apareció publicado en páginas dedicadas al hacking,
como por ejemplo http://cyruxnet.com.ar/rpcxploit2.htm#windows, un exploit
(programa malicioso para usar o explotar una vulnerabilidad) llamado DCOM el
cual era capaz de provocar un desbordamiento de buffer en una máquina remota
al objeto de tomar control de ella.

El método, con el exploit anterior, es de lo más sencillo:

dcom 1 direccion_IP
telnet direccion_ip 4444



GRAVEDAD DE ESTE EXPLOIT


Fijemonos, que este exploit, NO ha metido ningun gusano. No es un gusano
sino un ataque directo. Alguien acaba de tomar control de nuestra maquina. A
partir de este momento, puede hacer lo que quiera: llevarse datos,
cambiarnos las claves, llevarse el fichero de claves, llevarse certificados
digitales de nuestra maquina, colocarnos un keylloger para pillar las
pulsaciones tecleadas en paginas seguras -paginas bancarias, transacciones
comerciales, etc-

Y lo que es mas grave: en nuestra maquina, todavia no ha aparecido la famosa
cuenta atras de un minuto que nos indicaria la presencia de Blaster o
Sasster. No hay ningun sintoma de que estemos infectados, o que hayan
entrado en nuestra maquina.

Unicamente cuando ese visitante malicioso se vaya. en ese momoento
aparecerá la famosa cuenta atras de un minuto. Pero el mal... ya está hecho.
Ya nos da igual.

Puede incluso ser peor: dejarnos un zombie p un troyanito hecho a medida
(los famosos rootkit, indetectables por su variedad y porque no hay
herramientas para ello), y continuar capturando informacion a posteriori.


Fijemonos en lo mas importante: no estamos infectados. Y si de casualidad,
además, nos infecta un gusano, ese pobre gusano es totalmente inocente. No
es peligroso no pasa nada grave.



PROBLEMA REAL
-

El problema en sí, es que hemos sufrido una intrusion por ser vulnerables.


Y demos gracias, a que precisamente nos enteramos de la intrusion debido a
la existencia del gusano. Si no hubiesen realizado el gusano, unicamente
exstiria el exploit. Tardarian meses en diagnosticar lo que está pasando.
Gracias precisamente a la existencia del gusano, las grandes casas de
antivirus han tomado cartas en el asunto, pero unicmanete a nivel que a
ellos les compete: eliminar el gusano.

No entran, ni pueden entrar en lo que nos haya podido pasar por haber sido
vulnerables, y por las intrusiones realizadas.


CIÑENDOS EN LA ACTUALIDAD AL SASSTER


La sintomatologia de que hemos sido vulnerables es simplemente un mensaje
similar a:

LSA Shell (Export Version) ha encontrado un problema
y debe cerrarse.

O bien mensajes del tipo:

Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM

Tiempo restante
para el apagado: xx:xx:xx

Mensaje
El proceso del sistema
C:\WINNT\system32\lsass.exe terminó
de forma inesperada indicando código 0
Windows debe reiniciar ahora.


Con una cuenta regresiva y la maquina se reinicia. COn esto indica que somo
vulnerables y por tanto, o bien ha sido un simple ataque del sasster, algo
totalmente inocuo, o bien hemos sufrido una intrusion.

Parece que es muy dificil, y es en lo que internamente nos escudamos, que
precisamente nuestra maquina haya sido objeto de tal intrusion. Por
desgracia, tal y como estan las cosas, esto ultimo es lo mas probable.

Paginas maliciosas llevan tiempo distribuyendo los exploits que permiten
intrusiones por rangos completos de IP. Totalmente mecanizados para que los
script-kiddies no tengan mucho trabajo que hacer y solo recolectar la
informacion.


Veamos pginas de "informacion" y de donde se pueden bajar dichos exploits:


Por ejemplo: http://cyruxnet.com.ar

Exploit para el LSASS (MS04-011) (25-04-2004)

Se trata de un nuevo exploit para otra de las vulnerabilidades del MS04-011,
la que se referenciaba como "LSASS Vulnerability"
Esta vulnerabilidad fue encontrada por la gente de eEye (AD20040413C) y
afecta a los Windows 2k/XP, el servicio afectado es el LSA (Local Security
Authority) Service (LSASRV.DLL).
El exploit causa un overflow
Se ven afectados los Windows 2k/XP que no esten parcheados con el parche del
MS04-011
Exploit: ms04011lsass.c (links externo a www.k-otik.com).

DSScan: Escaner para esta vulnerabilidad publicado por Foundstone antes de
aparecer el exploit.
Descargalo aquí

Actualización 26-04-2004 :
Versión compilada: ms04011lsass
/download/ms04011lsass.zip

Actualización 29-04-2004 :
exploit universal (2k/XP): HOD-ms04011-lsasrv-expl
http://cyruxnet.com.ar/download/HOD...v-expl.rar

Origen: www.k-otik.com
-



CONCLUSIONES


1) FORMATEAR

No por la existencia del gusano en si, o porque hayamos sido infectados.
Sino porque hemos sido vulnerables: se puede afirmar que uno de cada tres
ataques no es una infeccion del gusano, sino una intrusion en toda regla por
uno de los millones de script-kiddies que hay sin otro oficion ni beneficio
que realizar estos actos vandalicos.

2) CAMBIAR TODAS LAS CLAVES

Es enecesario cambiar todas las claves y usar claves nuevas.

Avisar a los servicios (bancarios, de emision de certificados, etc) y
cambiar en ellos las claves de acceso. Aunque no los hayamos utilizado
dirante la existencia del gusano, pero cualquier cookie, o informacion
alamcendad previamente en nuestra maquina ha podido salir a internet y pasar
en la actualidad a engrosar las listas de datos que posteriormente estos
script-kiddies, venden en el mismo internet.

3) La informacion confidencial, que tuviesemos, bien personal o bien
empresarial, puede que sea ahora del Dominio Publico.



Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

Gracias.

Hawat

Gracias.

Hawat

Considero que es una información clara y precisa.
Gracias


"JM Tella Llop [MVP Windows]" escribió en el mensaje
news:%
SOBRE LAS NUEVAS MANERAS DE EXTRAER INFORMACION DE NUESTRAS MAQUINAS

Este artciulo viene a colación de las diversas desinformacion que se están
dando, y se dieron en el pasado "a proposito" en algunos medios de
comunicacion con respecto a vulnerabilidades, virus, gusanos, del estilo
Blaster, y en la actualidad del Sasster.

Quiero orientar el articulo, fundamentalmente a los usuarios domesticos. En
el ambito empresarial es otra historia, ya que las empresas tienen sus
propios mecanismos de seguridad, al igual que personal especializado que
juzgaran en cada caso, las fuga de informacion y la manera de atajarla así
como los medios a poner para resolver el problema. En estos ultimos casos,
la casuistica debe ser estudiada con detalle.

INTRODUCCION:
-

Pero a nivel domestico, tenemos una pregunta que hacernos: ¿es necesario
formatear el equipo ante la entrada de uno de estos gusanos?.

Esta es la pregunta formulada en terminos clasicos. Cualquier experto en
informatica os respondera inmediatamente: ESTA REALMENTE MAL FORMULADA LA
PREGUNTA.


La pregunta correcta debería ser: En caso de una intrusion fuerte, seria, en
manos de millones de delincuentes -script-kiddies- ¿debo formatear? ¿que mas
accciones de seguridad y para proteger mis datos debo tomar?


Antes de nada, vamos a definir el termino script-kiddie: niños idiotas en
castellano. Es gente sin o con poco conocimiento de informatica, dedicados
al vandalismo, y que se dedican a modificar, realizando un pequeño conjunto
de comandos -script- un exploit (programa malicioso para explotar una
vulnerabilidad) al objeto de conquistar una maquina y hacer en ella las
acciones que hayan pensado para su "script".

Esto es tan peligroso... que no hay una norma general de que es lo que
hacen. Se sabe lo que pueden hacer. Pero cada uno será diferente al
anterior.


ANTECEDENTES Y EXPLOITS AL ALCANCE DEL "PUBLICO"


Todos estos exploits, provienen de una vulnerabilidad, curiosamente unas
semanas mas tarde que haya sido publicada, resuelta y estando los parches a
disposicion del publico.

Ciñamonos, en una explicacion simple al caso del Blaster. (el Sasster es
identico):

Un agujero de seguridad en el RCP ("Remote Procedure Call", o llamada a
procedimiento remoto), fue detectado y corregido por Microsoft el día 16 de
julio de 2003:

http://www.microsoft.com/security/s...03-026.asp

Están afectados todos los sistemas de núcleo NT (W2000, XP, W2003).
La actualización crítica fue puesta a disposición de los usuarios a través
de Windows Update y del sistema de actualizaciones automáticas.

Pocos días más tarde, apareció publicado en páginas dedicadas al hacking,
como por ejemplo http://cyruxnet.com.ar/rpcxploit2.htm#windows, un exploit
(programa malicioso para usar o explotar una vulnerabilidad) llamado DCOM el
cual era capaz de provocar un desbordamiento de buffer en una máquina remota
al objeto de tomar control de ella.

El método, con el exploit anterior, es de lo más sencillo:

dcom 1 direccion_IP
telnet direccion_ip 4444



GRAVEDAD DE ESTE EXPLOIT


Fijemonos, que este exploit, NO ha metido ningun gusano. No es un gusano
sino un ataque directo. Alguien acaba de tomar control de nuestra maquina. A
partir de este momento, puede hacer lo que quiera: llevarse datos,
cambiarnos las claves, llevarse el fichero de claves, llevarse certificados
digitales de nuestra maquina, colocarnos un keylloger para pillar las
pulsaciones tecleadas en paginas seguras -paginas bancarias, transacciones
comerciales, etc-

Y lo que es mas grave: en nuestra maquina, todavia no ha aparecido la famosa
cuenta atras de un minuto que nos indicaria la presencia de Blaster o
Sasster. No hay ningun sintoma de que estemos infectados, o que hayan
entrado en nuestra maquina.

Unicamente cuando ese visitante malicioso se vaya. en ese momoento
aparecerá la famosa cuenta atras de un minuto. Pero el mal... ya está hecho.
Ya nos da igual.

Puede incluso ser peor: dejarnos un zombie p un troyanito hecho a medida
(los famosos rootkit, indetectables por su variedad y porque no hay
herramientas para ello), y continuar capturando informacion a posteriori.


Fijemonos en lo mas importante: no estamos infectados. Y si de casualidad,
además, nos infecta un gusano, ese pobre gusano es totalmente inocente. No
es peligroso no pasa nada grave.



PROBLEMA REAL
-

El problema en sí, es que hemos sufrido una intrusion por ser vulnerables.


Y demos gracias, a que precisamente nos enteramos de la intrusion debido a
la existencia del gusano. Si no hubiesen realizado el gusano, unicamente
exstiria el exploit. Tardarian meses en diagnosticar lo que está pasando.
Gracias precisamente a la existencia del gusano, las grandes casas de
antivirus han tomado cartas en el asunto, pero unicmanete a nivel que a
ellos les compete: eliminar el gusano.

No entran, ni pueden entrar en lo que nos haya podido pasar por haber sido
vulnerables, y por las intrusiones realizadas.


CIÑENDOS EN LA ACTUALIDAD AL SASSTER


La sintomatologia de que hemos sido vulnerables es simplemente un mensaje
similar a:

LSA Shell (Export Version) ha encontrado un problema
y debe cerrarse.

O bien mensajes del tipo:

Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM

Tiempo restante
para el apagado: xx:xx:xx

Mensaje
El proceso del sistema
C:\WINNT\system32\lsass.exe terminó
de forma inesperada indicando código 0
Windows debe reiniciar ahora.


Con una cuenta regresiva y la maquina se reinicia. COn esto indica que somo
vulnerables y por tanto, o bien ha sido un simple ataque del sasster, algo
totalmente inocuo, o bien hemos sufrido una intrusion.

Parece que es muy dificil, y es en lo que internamente nos escudamos, que
precisamente nuestra maquina haya sido objeto de tal intrusion. Por
desgracia, tal y como estan las cosas, esto ultimo es lo mas probable.

Paginas maliciosas llevan tiempo distribuyendo los exploits que permiten
intrusiones por rangos completos de IP. Totalmente mecanizados para que los
script-kiddies no tengan mucho trabajo que hacer y solo recolectar la
informacion.


Veamos pginas de "informacion" y de donde se pueden bajar dichos exploits:


Por ejemplo: http://cyruxnet.com.ar

Exploit para el LSASS (MS04-011) (25-04-2004)

Se trata de un nuevo exploit para otra de las vulnerabilidades del MS04-011,
la que se referenciaba como "LSASS Vulnerability"
Esta vulnerabilidad fue encontrada por la gente de eEye (AD20040413C) y
afecta a los Windows 2k/XP, el servicio afectado es el LSA (Local Security
Authority) Service (LSASRV.DLL).
El exploit causa un overflow
Se ven afectados los Windows 2k/XP que no esten parcheados con el parche del
MS04-011
Exploit: ms04011lsass.c (links externo a www.k-otik.com).

DSScan: Escaner para esta vulnerabilidad publicado por Foundstone antes de
aparecer el exploit.
Descargalo aquí

Actualización 26-04-2004 :
Versión compilada: ms04011lsass
/download/ms04011lsass.zip

Actualización 29-04-2004 :
exploit universal (2k/XP): HOD-ms04011-lsasrv-expl
http://cyruxnet.com.ar/download/HOD...v-expl.rar

Origen: www.k-otik.com
-



CONCLUSIONES


1) FORMATEAR

No por la existencia del gusano en si, o porque hayamos sido infectados.
Sino porque hemos sido vulnerables: se puede afirmar que uno de cada tres
ataques no es una infeccion del gusano, sino una intrusion en toda regla por
uno de los millones de script-kiddies que hay sin otro oficion ni beneficio
que realizar estos actos vandalicos.

2) CAMBIAR TODAS LAS CLAVES

Es enecesario cambiar todas las claves y usar claves nuevas.

Avisar a los servicios (bancarios, de emision de certificados, etc) y
cambiar en ellos las claves de acceso. Aunque no los hayamos utilizado
dirante la existencia del gusano, pero cualquier cookie, o informacion
alamcendad previamente en nuestra maquina ha podido salir a internet y pasar
en la actualidad a engrosar las listas de datos que posteriormente estos
script-kiddies, venden en el mismo internet.

3) La informacion confidencial, que tuviesemos, bien personal o bien
empresarial, puede que sea ahora del Dominio Publico.



Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.