Ejecución remota de código a través de Microsoft WINS

28/11/2004 - Ejecución remota de código a través de Microsoft WINS
http://www.hispasec.com/unaaldia/2227

Se ha descubierto una vulnerabilidad en 'wins.exe' de Microsoft
Windows que puede ser explotada por atacantes para ejecutar código
arbitrario en un sistema afectado.

WINS (Windows Internet Naming Service) es un sistema de resolución de
nombres de NetBIOS que traduce nombres de máquina a las IPs que tienen
asociadas, con lo que se evita tener que hacer broadcast de paquetes
para poder realizar dicha conversión.

La vulnerabilidad afecta a Windows NT 4.0 Server, Windows NT Server
4.0
Terminal Server Edition, Windows 2000 Server y Windows Server 2003.

Un usuario malicioso puede construir un paquete WINS y mandarlo al
puerto TCP 42 sobre el que opera este servicio para modificar un
puntero de memoria y así escribir contenidos en direcciones
arbitrarias
de memoria. Esto puede ser explotado para provocar la ejecución
remota de código arbitrario.

A la espera de un parche de actualización que corrija la
vulnerabilidad,
Microsoft ha publicado un documento al respecto en el que informa que
está investigando este problema y recomienda filtrar el acceso al
puerto
42 (tanto tcp como udp), desactivarlo o usar IPSec para asegurar el
tráfico entre servidores WINS.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2227/comentar

Más Información:

Microsoft WINS Memory Overwrite Lets Remote Users Execute Arbitary
Code
http://www.securitytracker.com/aler...12341.html

Vulnerability Wins.exe remote vulnerability.
http://www.immunitysec.com/download...ntanea.pdf

How to help protect against a WINS security issue
http://support.microsoft.com/kb/890710
Antonio Ropero

28/11/2004 - Ejecución remota de código a través de Microsoft WINS
http://www.hispasec.com/unaaldia/2227

Se ha descubierto una vulnerabilidad en 'wins.exe' de Microsoft
Windows que puede ser explotada por atacantes para ejecutar código
arbitrario en un sistema afectado.

WINS (Windows Internet Naming Service) es un sistema de resolución de
nombres de NetBIOS que traduce nombres de máquina a las IPs que tienen
asociadas, con lo que se evita tener que hacer broadcast de paquetes
para poder realizar dicha conversión.

La vulnerabilidad afecta a Windows NT 4.0 Server, Windows NT Server
4.0
Terminal Server Edition, Windows 2000 Server y Windows Server 2003.

Un usuario malicioso puede construir un paquete WINS y mandarlo al
puerto TCP 42 sobre el que opera este servicio para modificar un
puntero de memoria y así escribir contenidos en direcciones
arbitrarias
de memoria. Esto puede ser explotado para provocar la ejecución
remota de código arbitrario.

A la espera de un parche de actualización que corrija la
vulnerabilidad,
Microsoft ha publicado un documento al respecto en el que informa que
está investigando este problema y recomienda filtrar el acceso al
puerto
42 (tanto tcp como udp), desactivarlo o usar IPSec para asegurar el
tráfico entre servidores WINS.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2227/comentar

Más Información:

Microsoft WINS Memory Overwrite Lets Remote Users Execute Arbitary
Code
http://www.securitytracker.com/aler...12341.html

Vulnerability Wins.exe remote vulnerability.
http://www.immunitysec.com/download...ntanea.pdf

How to help protect against a WINS security issue
http://support.microsoft.com/kb/890710
Antonio Ropero

28/11/2004 - Ejecución remota de código a través de Microsoft WINS
http://www.hispasec.com/unaaldia/2227

Se ha descubierto una vulnerabilidad en 'wins.exe' de Microsoft
Windows que puede ser explotada por atacantes para ejecutar código
arbitrario en un sistema afectado.

WINS (Windows Internet Naming Service) es un sistema de resolución de
nombres de NetBIOS que traduce nombres de máquina a las IPs que tienen
asociadas, con lo que se evita tener que hacer broadcast de paquetes
para poder realizar dicha conversión.

La vulnerabilidad afecta a Windows NT 4.0 Server, Windows NT Server
4.0
Terminal Server Edition, Windows 2000 Server y Windows Server 2003.

Un usuario malicioso puede construir un paquete WINS y mandarlo al
puerto TCP 42 sobre el que opera este servicio para modificar un
puntero de memoria y así escribir contenidos en direcciones
arbitrarias
de memoria. Esto puede ser explotado para provocar la ejecución
remota de código arbitrario.

A la espera de un parche de actualización que corrija la
vulnerabilidad,
Microsoft ha publicado un documento al respecto en el que informa que
está investigando este problema y recomienda filtrar el acceso al
puerto
42 (tanto tcp como udp), desactivarlo o usar IPSec para asegurar el
tráfico entre servidores WINS.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2227/comentar

Más Información:

Microsoft WINS Memory Overwrite Lets Remote Users Execute Arbitary
Code
http://www.securitytracker.com/aler...12341.html

Vulnerability Wins.exe remote vulnerability.
http://www.immunitysec.com/download...ntanea.pdf

How to help protect against a WINS security issue
http://support.microsoft.com/kb/890710
Antonio Ropero