[interesante] Vulnerabilidad Y Explotacion Del Rpc


  • 0

    VULNERABILIDAD Y EXPLOTACION DEL RPC
    –----------------------------------

    HISTORIA

    Un agujero de seguridad en el RCP ("Remote Procedure Call", o llamada a procedimiento
    remoto), fue detectado y corregido por Microsoft el día 16 de julio de 2003:
    http://www.microsoft.com/security/security_bulletins/ms03-026.asp.
    Estan afectados todos los sistemas de nucleo NT (W2000, XP, W2003).
    La actualizacion critica fué puesta a disposicion de los usuarios a través
    de Windows Update y del sistema de actualizaciones automaticas.

    Pocos días mas tarde, apareció publicado en paginas dedicadas al hacking ****,
    un exploit (programa malicioso para usar o explotar una vulnerabilidad)
    llamado DCOM el cual era capaz de provocar un desbordamiento de
    buffer en un maquina remota al objeto de tomar control de ella.

    El metodo, con el exploit anterior, es de lo mas sencillo:

    dcom 1 direccion_IP
    telnet direccion_ip 4444

    mediante los dos comandos anteriores, cualquier malintencionado
    tomará control de nuestra maquina con los privilegios de Local System,
    es decir con el maximo nivel de privilegios existente.

    A partir de ese momento, podrá hacer en nuestra maquina lo que desee.

    Simultaneamente, el dia 11 de Agosto aparece un gusano (worm) que explota
    tambien dicha vulnerabilidad. Este gusano, "W32.blaster", en sí,
    no es peligroso comparado con la potencialidad del peligro de
    acceso manual descrito anteriormente.

    PELIGROS REALES
    –-------------

    El peligro real, es que cualquiera, en cualquier momento,
    ha tomado control de nuestra maquina.

    Desde ese momento, nuestra maquina deja de ser nuestra:
    puede ser usada con cualquier fin que el atacante desee.
    Es conocido desde hace años PC's conquistados y que sin
    que sus propietarios se aperciban de nada, son reutilizados
    para redistribucion de pornografía, para envios de correos
    masivos (spam), o bien pasan a engrosar las listas de PC's
    zombies, las cuales se venden por internet, para realizar
    ataques a servidores de la red cuando son despertados
    por el atacante.
    Se usan para ataques de denegacion de servicio a servidores
    de empresas, corporaciones, organismos o bien con fines
    terroristas a grandes servidores de internet.

    SINTOMATOLOGIA

    En el momento actual, cualquier maquina que no haya aplicado en
    su día el parche de Microsoft ms03-026 o que no haya tenido activado
    siempre un cortafuegos habrá sido atacada: bien manualmente
    por un atacamente malicioso (cualquier niño es capaz de usar
    dicha vulnerabilidad con el exploit), o bien por el gusano w32.blaster
    -o alguna de sus variantes- los cuales se reproducen exponencialmente.
    Su grado de difusion es muy elevado.

    Los sintomas son:

    1. Windows nos informa de un error en el sistema RPC.
    2. A continuancion aparece una ventana que nos comunica
      un error grave del sistema y que procederá a reiniciarse el sistema
      a los 50 segundos, empezando una cuenta de tiempo regresiva hasta 0.

    NOTA: Aparece además un error del RPC en rojo en el visor de sucesos de Windows.

    Por cada vez que veamos esos mensajes, o aparezca el error en el visor de sucesos,
    nuestra maquina ha sido accedida y conquistada de nuevo con exito.

    Dichos sintomas, son debidos a un error del propio exploit, o del propio
    gusano. Si no cometiese dicho error, tampoco nos daríamos cuenta
    que hemos sido atacados. Es importante esta nota, ya que probablemente
    salgan versiones más refinadas del exploit que sean capaces de operar
    sin que el usuario perciba nada.

    ANALISIS DE LAS SOLUCIONES

    A la vista de lo anterior, no existe una solucion, ni puede existir si nuestra
    maquina ha sido conquistada:

    • En el mejor de los casos, unicamente habremos sido atacados por el gusano.
      Es trivial deducir, que en este caso, cualquier antivirus actualizado a fecha posterior
      al 12 de Agosto del 2003, será capaz de eliminarlo.

    • Nadie puede garantizarnos, que si hemos sido atacados con exito una
      vez al menos por el gusano, no hayamos sido atacados en algun otro
      momento por alguna persona maliciosa.
      En este caso hemos perdido ya el control de nuestro PC.

    La unica alternativa fiable es el formateo de la maquina previa copia de
    seguridad de los datos, y nueva instalacion del sistema operativo.

    En la actualidad, las paginas de antivirus dan dos alternativas:

    • Explican el funcionamiento y la eliminacion del gusano.
    • Contradictoriamente, informan con el titulo de IMPORTANTE, que las
      empresas y corporaciones deberán formatear las maquinas afectadas.

    Este ultimo punto, el cual está de acuerdo por el analisis previo que he
    realizado, me parece contradictorio por parte de las casas de antivirus al
    diferenciar los PC's de uso domestico a los PC's empresariales.
    Entiendo, que si un PC empresarial debe formatearse, el mismo consejo
    debe darse a un PC Domestico, maxime, cuando en un PC Domestico
    podemos tener informacion de la cual no tengamos copia de seguridad e
    informacion personal "sensible". A nivel empresarial, las copias de seguridad
    existen, y entiendo que el grado de confidencialidad es tan importante,
    como el grado de confidencial de la informacion de nuestros PC's domesticos.

    MAQUINAS POTENCIALMENTE AFECTADAS

    • Sistemas de nucleo NT, W2000, XP o W2003.

    • Todas aquellas que estaban o han estado algun momento sin cortafuegos
      activado, inclusive "durante" la instalacion del sistema operativo si teniamos
      conectado el cable de red a la conexion a Internet.

    • Y que no hayan aplicado el parche MS03-26 de Windows Update o del
      avisador de actualizaciones criticas.

    El firewall incorporado en XP / W2003 protege correctamente y no son
    conocidas vulnerabilidades de él en dos años que lleva XP en el mercado.
    Del resto de firewalls de terceros, son conocidas, y existen exploits,
    decenas de vulnerabilidades. Hoy mismo han sido publicados en foros
    de hacking nuevas vulnerabilidades del Zone Alarm, y durante los ultimos
    meses han sido publicadas varias del firewall de Sygate.

    Igualmente, debemos recordar, que existen informaciones contradictorias
    de la posible proteccion que nos puede ofrecer un router ADSL en multipuesto.
    Erroneamente se cree que al estar en multipuesto, y por tanto al existir una
    traduccion de direcciones en el router, estaremos protegidos ya que acturará
    de cortafuegos. Esta creencia es erronea por los siguientes motivos:

    1. Un router ADSL no actua de cortafuegos. Unicamente tiene filtros o bien
      traslacion de direcciones. No es comparable a la seguridad de un firewall.

    2. La mayoría de los routers ADSL tienen definido un "default workstation",
      por lo cual, al menos una de las maquinas de nuestra red será totalmente
      alcanzable desde internet. Si una lo es, a partir de ella lo seran todas.

    3. Existen exploits que son capaces de usar vulnerabilidades del firmware
      de los routers ADSL, por lo cual cualquier atacante malintencionado podrá
      usar dichos exploits para penetrar en nuestra red local.

    CONCLUSIONES

    A la vista de lo anterior, podemos sacar las siguientes conclusiones:

    • En principo los potencialmente afectados deberían formatear e instalar
      en limpio el sistema operativo. Esto puede tener una sola excepción:

    Al dia de hoy (13 de Agosto de 2003), no se conoce un exploit que no
    provoque indirectamente los mensajes de error citados en la parte
    de SINTOMATOLOGIA. Probablemente en poco tiempo existiran variantes
    del exploit que operen totalmente ocultas al usuario, por lo que no podemos
    deducir que si no ha habido un reinicio de nuestra maquina no hayamos
    sido conquistados.

    CONSEJOS DE INSTALACION

    • Instalar siempre con la conexion a Internet desconectada.
      Es decir, en las maquinas con acceso directo a Internet (router ADSL, cable,
      etc)..... el cable de red a Internet debe estar desconectado ya que durante
      la instalacion y posterior primer inicio del sistema, son todavía vulnerables
      al no estar activado el cortafuegos.

    • Antes de conectar los cables a Internet, o bien en el momento de configurar
      la conexion telefonica, comprobar que el cortafuegos de XP / W2003 esté activo
      (boton derecho sobre la conexion de red, propiedades, pestaña de avanzado,
      y verificar que el casillero de "proteger mi conexion" esté activado).
      En el resto de maquinas, instalar previamente un cortafuegos de
      terceros (ultimas versiones).

    • Inmediatemente, aplicar todos los parches de seguridad o parches criticos
      de WindowsUpdate. Si existen SP (Service Packs) a los sistemas operativos
      estos deben ser lo primeros en aplicarse.

    **** El mensaje original trae un link a una web donde poder bajarse el exploit para explotar la vulnerabilidad, pero de momento no lo voy a poner.



  • 1

    NOTA FINAL
    –--------

    Independiente de las vulnerabilidades, las cuales, y no sirve como disculpa a
    Microsoft o a Linux, son inherentes a cualquier sistema operativo pasado,
    presente o futuro debemos fijarnos igualmente en los errores que "nosotros"
    como usuarios cometemos.

    Vamos a ceñirnos en este caso al sistema de mas difusion a
    nivel domestico: Windows XP.

    • Windows XP viene configurado por defecto con el cortafuegos activo.
      En el momento que usamos cualquier asistente y nos pregunta por la
      conexion a Internet, activará el cortafuegos en dicha interface de red o
      conexion telefonica. (existen salvedades a esto en maquinas 'multihomed'
      con multiples interfaces de red, pero no es el caso de un usuario domestico).

    • Windows XP tiene el mecanismo de actualizaciones automaticas.

    Por tanto, repasemos los errores que como usuarios hemos
    comentido en caso de ser vulnerables:

    1. Desactivar el cortafuegos. Esto es muy corriente en aquellos inconscientes
      (no hay otra definicion), que debido a que el uso de un cortafuegos impide
      ciertas comunicaciones servidoras (lo mas normal es el envio de archivos
      a través de messenger, por ejemplo), en vez de configurar dicho firewall
      correctamente para permitir el uso de esas aplicaciones
      simplemente lo desactivan.

    2. No hacer caso a las actualizaciones automaticas.

    3. No pasar nunca por las paginas de mantenimiento de Windows Update.

    Y recordemos, que la informatica, es y cada vez más, igual que la
    industria real: si no pasamos una revision de nuestro automovil
    perdemos la garantia. Si no respetamos las normas de trafico,
    y sobre todo de "sentido comun" ocurren accidentes.

    En informatica es similar. No solo debemos dejar activos los
    mecanismos que el fabricante del sistema ha ideado para la
    proteccion y la seguridad sino que debemos igualmente ser
    responsables del mantenimiento de nuestro sistema.

    No sirve para nada tener un antivirus, por ejemplo,
    -y aunque no venga al hilo del presente articulo-,
    sino usamos siempre el "sentido comun".
    Los virus son nuevos cada dia, mucho de ellos son mutaciones
    de versiones anteriores. Hasta que un virus no alcanza una
    propagacion fuera del ambito local, las casas de antivirus
    no proceden a preparar una vacuna. Por tanto, y aunque se use antivirus,
    siempre estaremos desprotegidos contra los nuevos virus.

    Solo existe una alternativa: "sentido comun".

    Este texto fue originalmente publicado por JMT en las news de microsoft.

    Salu2
    Packo



  • 2

    Muy bien, pero conviene recordar que el "cortafuegos" incluido no ofrece protección alguna o no lo suficiente, y que el uso de actualizaciones y service packs a menudo no sirven salvo para enlentecer el ordenador (service pack 1 de windows xp) o para que salgan otros parches corrigiendo errores de otros parches anteriores.
    …por no hablar de que su cliente de correo "outlook" es de los más inseguros y problemáticos que hay.

    Lo mejor es siempre buscar soluciones "externas" como un cliente de correo tipo the bat, o un cortafuegos realmente potente como kerio, que además es gratuito para uso personal.

    También se debería DESACTIVAR el servicio TELNET desde el listado de servicios de windows, al menos no se podría hacer uso de la vulnerabilidad con el comando telnet.



  • 3

    Publicado originalmente por Sheu_ron
    **Muy bien, pero conviene recordar que el "cortafuegos" incluido no ofrece protección alguna o no lo suficiente,
    **

    El cortafuegos de XP para este problema es más que suficiente, de hecho, cuantos bugs se le conocen al firewal del xp?, y p.ej. al zone alarm?

    **

    y que el uso de actualizaciones y service packs a menudo no sirven salvo para enlentecer el ordenador (service pack 1 de windows xp) o para que salgan otros parches corrigiendo errores de otros parches anteriores.

    yo no conozco ningun caso de lentitud al instalar el sp1 del xp, de hecho solo conozco un caso de lentitud al instalar un parche del update y lo corrigio microsoft en un tiempo no muy largo.

    **

    …por no hablar de que su cliente de correo "outlook" es de los más inseguros y problemáticos que hay.

    hablas del outlook o del outlook express?

    **

    Lo mejor es siempre buscar soluciones "externas" como un cliente de correo tipo the bat, o un cortafuegos realmente potente como kerio, que además es gratuito para uso personal.

    tu crees que si la gente en cuanto tiene el más minimo problema con programas que actuan de servidor (p.ej. edonkey), en lugar de configurar el firewall del xp que es lo mas sencillo que hay lo desactivan, van a plantearse usar un firewall de terceros??

    **

    También se debería DESACTIVAR el servicio TELNET desde el listado de servicios de windows, al menos no se podría hacer uso de la vulnerabilidad con el comando telnet.

    El servicio de telnet por defecto está parado en arranque manual, y lo que hace el exploit es abrir una shell en el puerto 4444 para poder conectarse a traves de un terminal (telnet, netcat o lo que quieras)

    Salu2
    Packo********



  • 4

    1-. ¿Al zone alarm free o al zone alarm pro?
    http://www.bandaancha.st/weblogart.php?artid=1923
    http://www.webpanto.com/articulo.php?sid=1929 [tarda en cargar]

    …y esperate cuando microsoft...
    http://www.bandaancha.st/weblogart.php?artid=1885

    2-. Pues ya me conoces a mi. Después de instalarlo, además de que le cuesta más al iniciarse y al apagar, el explorer.exe, los svchost.exe y winlogon.exe consumen casi el doble de memoria.

    3-. De los dos. Actualmente MS está diseñando un logo "designed for Microsoft Outlook XP, 2000 and Express" para todos los programadores de virus de correo electrónico que soliciten dicha certificación xD

    4-. Hombre, el firewall del xp tiene de todo menos facilidad de uso y por lo que he leído desde que salió el xp, su protección deja bastante que desear.

    5-. Sí, pero para conectarte a una máquina por telnet, dicha máquina tendrá que tener cargado el servicio de telnet ¿no? Así pues si de "manual" (sólo se carga cuando es requerido por un proceso o por el usuario) lo pasamos a "desactivado", dicho exploit no podrá ejecutarse (pienso yo, tampoco es que haya hecho ninguna prueba).



  • 5

    Publicado originalmente por Sheu_ron
    **1-. ¿Al zone alarm free o al zone alarm pro?
    http://www.bandaancha.st/weblogart.php?artid=1923
    http://www.webpanto.com/articulo.php?sid=1929 [tarda en cargar]

    …y esperate cuando microsoft...
    http://www.bandaancha.st/weblogart.php?artid=1885

    2-. Pues ya me conoces a mi. Después de instalarlo, además de que le cuesta más al iniciarse y al apagar, el explorer.exe, los svchost.exe y winlogon.exe consumen casi el doble de memoria.

    3-. De los dos. Actualmente MS está diseñando un logo "designed for Microsoft Outlook XP, 2000 and Express" para todos los programadores de virus de correo electrónico que soliciten dicha certificación xD

    4-. Hombre, el firewall del xp tiene de todo menos facilidad de uso y por lo que he leído desde que salió el xp, su protección deja bastante que desear.

    5-. Sí, pero para conectarte a una máquina por telnet, dicha máquina tendrá que tener cargado el servicio de telnet ¿no? Así pues si de "manual" (sólo se carga cuando es requerido por un proceso o por el usuario) lo pasamos a "desactivado", dicho exploit no podrá ejecutarse (pienso yo, tampoco es que haya hecho ninguna prueba).**

    joder, si el firewall del xp es mas sencillo que el mecanismo de un chupete…

    aunque tu desactives el servicio de telnet (el que corre en el puerto 23), al explotar el bug, el sistema abre un shell en el puerto 4444 independiente de que tengas el servicio de telnet abierto o no, es como si tienes montado un servidor web en el puerto 80, tu puedes conectarte con un cliente telnet al puerto 80, no es el servicio de telnet el que se lanza en el 4444 (entre otras muchas razones porque el servicio de telnet pide autentificacion y el exploit abre la shel con privilegios de local system (más altos que los del usuario administrador local))

    Salu2
    Packo



  • 6

    Publicado originalmente por packosoft
    aunque tu desactives el servicio de telnet (el que corre en el puerto 23), al explotar el bug, el sistema abre un shell en el puerto 4444 independiente de que tengas el servicio de telnet abierto o no, es como si tienes montado un servidor web en el puerto 80, tu puedes conectarte con un cliente telnet al puerto 80, no es el servicio de telnet el que se lanza en el 4444 (entre otras muchas razones porque el servicio de telnet pide autentificacion y el exploit abre la shel con privilegios de local system (más altos que los del usuario administrador local))

    creo que me he perdido en el desvío hacia zaragoza :risitas: :risitas:



  • 7

    Al final, practicamente todo los fallos de seguridad grave de windows provienen de la política de usuarios q utiliza este SO, ya q lo normal al trabajar con una máquina windows es trabajar como un usuario privilegiado y por lo tanto cualquier código ejecutado por ese usuario puede modificar ficheros clave para la integridad del sistema.



  • 8

    amos a ver si me explico mejor :rolleyes:

    que el exploit abra una shell en el puerto 4444 significa que con cualquier programa de terminal (telnet, netcat, hyperterminal, el propio internet explorer), puede conectarse a el, pero no implica que sea el servicio de telnet el que abra esa shell.

    Haz una prueba, abre una ventana de MSDOS y haz un telnet ftp.terra.es 21 lo que estas haciendo es conectarte a un servicio como es el ftp con un cliente de telnet, y no necesariamente tienen que tener lanzado un servidor telnet.

    Salu2
    Packo



  • 9

    Publicado originalmente por josefu
    Al final, practicamente todo los fallos de seguridad grave de windows provienen de la política de usuarios q utiliza este SO, ya q lo normal al trabajar con una máquina windows es trabajar como un usuario privilegiado y por lo tanto cualquier código ejecutado por ese usuario puede modificar ficheros clave para la integridad del sistema.

    Pero eso es culpa del usuario y no del SO, pq en Linux pasa lo mismo, si se ejecuta codigo malicioso con privilegios elevados hay problemas, pero si lo hace un usuario mindundi (como debería ser), no pasaría nada

    Salu2
    Packo



  • 10

    Llevas razón, el problema esta en el usuario, pero es q M$ lo ha acostumbrado a trabajar así, sin limites de privilegios y sin diferenciar permisos en archivos.

    Aún me acuerdo cuándo bill gates dijo q eso de internet sería un fracaso y tal y cual xD xD
    En un entorno sin conexión con ningún tipo de máquina no hace falta ninguna política de usuarios eficaz, pero amigo, internet despegó y los SO's de micro$oft se quedaron con el culo al aire.
    Ahora ya parece q la cosa mejora, pero les queda un largo camino.



  • 11

    hombre, no te digo que en la familia 9x pasara eso, pero desde NT, 2k, XP, etc. para acá ya existen los permisos y grupos de usuarios, el problema es que la gente cuando se crea su usuario se lo crea (en el 99% de las ocasiones) como administrador para "que no le de problemas", y así nos va.

    Salu2
    Packo



  • 12

    Publicado originalmente por packosoft
    **hombre, no te digo que en la familia 9x pasara eso, pero desde NT, 2k, XP, etc. para acá ya existen los permisos y grupos de usuarios, el problema es que la gente cuando se crea su usuario se lo crea (en el 99% de las ocasiones) como administrador para "que no le de problemas", y así nos va.

    Salu2
    Packo**

    significa eso que si yo estuviera como usuario "secundario" (normal, no admin) tendria menos vulnerabilidades de estos tipos de virus y de los ataques "entrantes"??

    drocera_



  • 13

    hombre, obviamente si eres un usuario que no tiene permisos de escritura sobre el directorio de windows ni sobre el registro ni sobre zonas del SO 'peligrosas', si te infectas con un virus q p.ej. borrara todo el contenido de tu disco duro, solo te borrará los archivos sobre los que tu tengas permisos (a no ser que use algun tipo de escalada de privilegios, que no suele ser lo habitual), por tanto el daño será mucho menor que si el virus lo 'piya' un administrador del equipo.

    Salu2
    Packo



  • 14

    y en el caso que me cree una cuenta de usuario "normal" y utilize esa, tendre algun problema a la hora de instalar, desinstalar programas/drivers, etc…??

    drocera_



  • 15

    hombre, si es un usuario 'raso' no va a poder instalar la mayoria de las aplicaciones, pero eso se soluciona bien instalandolas con un usuario que si tenga permisos o bien ejecutando la instalacion como un usuario que los tenga (MAY+boton derecho sobre el ejecutable y 'ejecutar como')

    el software, si está bien diseñado debería funcionar sin ningun tipo de problemas con un usuario normal.

    Salu2
    Packo



  • 16

    Soy una nueva victima dl blaster, aunke a mi no se m ha reiniciado el ordnador.
    Llevaba unos dias sin antivirus ni cortafuegos (inconsciente d mi, no tube tiempo d instalarlos tras el ultimo formateo, el martes) y ayer m fijé en un proceso d windows llamado msblast y k cerré sin problemas. Hoy he instalado el firewall y el norton y m ha detectado el msblast.exe en system32 como el gusano w32.blaster y lo ha borrado.
    M toca formatear?O solo cn borrarlo ya basta?

    PD: X cierto, el Windows update estubo unos días sin rular xk no m dejaba actualizar nada…
    PD2: K razón tienes al decir k los usuarios somos los principales culpables dl tema



  • 17

    yo formatearía, pq igual que te ha entrado el gusano, algun script-kidie puede haberse metido hasta la cocina y haberte dejado algun 'regalito', tipo server ftp, troyano, o similar. Por cierto, la rumorologia dece que el blaster ademas de infectar los equipos robaba todo tipo de informacion sobre contraseñas y demás almacenadas en el ordenador, asi que tampoco estaría de mas cambiarlas.

    Salu2
    Packo

    Lo del windowsupdate imagino que habrá sido por la avalancha de usuarios intentando actualizar sun windows.
    Si este problema consigue hacer que los usuarios cambiemos nuestra forma de actuar igual se saca algo positivo.



  • 18

    Según he visto en www.vsantivirus.com ya hay 3 virus que aprovechan este fallo del RPC del windows :rolleyes: :susto: , y además las diferentes versiones de cada uno de ellos.

    packosoft dijo

    Si este problema consigue hacer que los usuarios cambiemos nuestra forma de actuar igual se saca algo positivo.

    Pues es verdad, mucha gente nunca actualiza el windows y no les importa nada, no se preocupan nada de la seguridad, pero se van a dar cuenta de que si siguen por el mismo camino sin cambiar de actitud se van a enfrentar a cantidad de problemas con los nuevos virus y se van a quedar sin ordenador.

    Ojalá que esto sirva para que la gente se de cuenta que lamentablemente ya no se puede estar desprotegido en internet y hay que cuidarse y protegerse actualizando el windows frecuentemente y teniendo antivirus y lo que sea necesario.





Has perdido la conexión. Reconectando a Hardlimit.