• Tweet

Desde el día de ayer se ha estado informando en diversos medios de la necesidad de instalar a la brevedad posible las actualizaciones de seguridad de Microsoft, esto debido a que el US-CERT y el SANS han detectado indicios de que la vulnerabilidad en el Servicio de Servidor de Microsoft (MS06-040) esta siendo explotada.  El principal problema con esta vulnerabilidad es que puede ser explotada sin la interacción del usuario por lo que se recomienda priorizar la implementación de esta actualización en nuestras redes.

Dentro del boletín MS06-040 se puede leer una descripción del Servicio de Servidor. “El servicio de servidor proporciona compatibilidad con RPC así como impresión de archivos y uso compartido de canalizaciones con nombre a través de la red. El servicio de servidor permite compartir los recursos locales (como discos e impresoras) para que otros usuarios de la red puedan tener acceso a ellos. También permite comunicación de canalizaciones con nombre entre aplicaciones que se ejecutan en otros equipos y su equipo, que se usa para RPC.”

Un intruso que desee explotar esta vulnerabilidad sólo necesita crear un mensaje especialmente diseñado y enviarlo a un sistema afectado, lo cual podría hacer que el sistema afectado ejecute código. Esta falla tiene algo similar a la falla que atacó a los sistemas Windows en 2003, el gusano fue conocido como Blaster.

Recordemos que Blaster fue un gusano que se propagó automáticamente en una gran cantidad de equipos Windows en el 2003. Blaster utilizaba una vulnerabilidad en el DCOM-RPC. Tanto la vulnerabilidad MS06-040 como Blaster aprovechan un problema en el componente Remote Procedure Call (RPC).

Esta vulnerabilidad afecta a todos los sistemas Windows y en todos es considerada como crítica. Sin embargo, usuarios con Windows XP SP2 y Windows 2003 con SP1 son protegidos por el firewall de Windows si estos no  utilizan la opción de “Compartir impresoras y archivos para redes Microsoft”.

En uno de los blogs de seguridad de Microsoft se puede leer lo siguiente: “Aunque nosotros siempre recomendamos aplicar cualquier actualización catalogada como Crítica tan pronto como sea posible, recomendamos a nuestro clientes dar prioridad a la MS06-040 al implementarla y probarla.” Además se comenta en el blog que la actualización MS06-040 no resuelve un problema de negación de servicio reportado en días pasados.

Otras de las vulnerabilidades que se están explotando son la MS06-042 y MS06-046.

El Departamento de Seguridad en Cómputo recomienda que mientras no se realice una instalación de las últimas actualizaciones de seguridad en las redes locales, pero en especial la MS06-040:

• Se filtren los puertos 135-139 y el 445.
• Instalar un antivirus y Antispyware y mantenerlos actualizados
• En equipos Windows XP SP2 y Windows 2003 SP1 que no requieran compartir impresoras y archivos, deshabilitar la opción de “Compartir impresoras y archivos para redes Microsoft” en la(s) propiedades de la(s) tarjeta(s) de red del equipo. Además de tener habilitado el firewall de Windows.

Más recomendaciones pueden ser encontradas en el boletín de seguridad MS06-040 en el apartado de “Soluciones provisionales”.

Hasta la liberación de esta nota no se ha liberado un exploit publico pero es inminente la liberación de éste.

Actualización Ya se ha liberado un exploit público por lo que se recomienda actualizar los equipos Windows vulnerables a la brevedad posible. Adicionalmente les comento que eEye ha liberado una herramienta para detectar equipos sin la actualización MS06-040 o pueden utilizar Microsoft Baseline Security Analyzer para detectar equipos que carezcan de alguna actualización de seguridad en general en sistemas Windows. Fuente: UNAM-CERT  JLO/JLO