• Tweet

Una vulnerabilidad podría permitir ejecutar código no autorizado en servidores afectados.

Los intrusos están tratando de tomar ventaja de una nueva vulnerabilidad divulgada en varios servidores de Microsoft, esta podría permitirle a los intrusos ejecutar código no autorizado en sistemas afectados, previno Microsoft.

El ataque es limitado, de acuerdo a un aviso publicado por Microsoft el día de ayer en la noche. Microsoft esta trabajando para corregir el problema, pero no se ha dado una fecha de la publicación de la corrección, comentó un vocero en Londres.

Microsoft acaba de liberar 7 actualizaciones que corrigen problemas críticos el martes pasado en su ciclo mensual de actualizaciones, y no se espera otra liberación de actualizaciones hasta el siguiente ciclo, el próximo 8 de Mayo. Microsoft publicó una actualización el pasado 3 de Abril para una falla crítica en los cursores animados, pero esta actualización no se encontraba dentro del clásico ciclo mensual del segundo martes de cada mes.

La vulnerabilidad encontrada afecta al servicio de sistema de nombres de dominio (DNS), el cual resuelve direcciones IPs a nombres y viceversa. Los sistemas afectados son Windows 2000 Service Pack 4, Windows 2003 Service Pack 1 y Windows 2003 Service Pack 2.

La falla puede ser utilizada en un ataque de desbordamiento de memoria intermedia en el servidor DNS al ser llamado por la interfaz de servicio de procedimiento remoto (RPC). RPC es un protocolo a través del cual un programa puede requerir un servicio desde una aplicación a otra máquina en la red.

Un intruso podría tratar de explotar el problema enviando un paquete especialmente diseñado al servicio RPC del sistema afectado, el cual entonces permitiría la ejecución remota de código “con los privilegios del DNS (el cual utiliza los privilegios de la cuenta system)”, comento Microsoft.

Microsoft ha mencionado varias formas de bloquear el ataque hasta que una corrección sea liberada. Los administradores deberían deshabilitar la capacidad de manejo remoto sobre RPC mediante una llave de registro, comentó Microsoft. El SANS Institute monitorea el estado de la Internet y promociona capacitación en seguridad, recomienda esta opción.

Otras soluciones temporales incluyen bloquear los puertos 1024 al 5000 en el firewall, los cuales son usados por el protocolo RPC, y habilitar el filtrado avanzado de TCP/IP.

La firma de seguriad Secunia catalogo el problema como “altamente crítico en un aviso.”

Intrusos están tratando de tomar ventaja de esta nueva vulnerabilidad divulgada en varios productos de Microsoft que podría permitir ejecutar código no autorizado.