BEGIN PGP SIGNED MESSAGE-----
------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Computo
DGSCA- UNAM
Nota de Seguridad UNAM-CERT 2003-010
Código de Exploit Disponible para Nueva Vulnerabilidad en Microsoft
Windows RPC DCOM
------------------------------------------------------------------------
En las últimas horas UNAM-CERT ha comenzado a recibir información
diversa acerca de la liberación de un nuevo exploit que afecta los
equipos con sistemas Windows 2000, Windows XP y Windows 2003, que
basa su operación en la explotación de servicios RPC DCOM.
Esta explotación en los servicios RPC DCOM NO es la misma a las
anteriormente descritas en los Boletines de Seguridad UNAM-CERT
2003-023 y UNAM-CERT 019, Nota de Seguridad 006, 007, 008 y 009.
Al momento de publicación de esta Nota de Seguridad no se encuentran
referencias relacionadas con esta vulnerabilidad en los sitios de
Bases de Datos de MITRE o CERT.
Recomendamos a todos los usuarios de dichos sistemas tomar las
medidas preventivas en esta Nota de Seguridad ya que el código de
dicho exploit ya ha sido liberado a través de diversos foros y se
estima que en cuestión de horas este pueda comenzar a utilizarse y
provocar inestabilidad en la operación de la red o inclusive pueda
llegar a transformar en código malicioso.
Mientras UNAM-CERT y diversos equipos de respuesta a incidentes
analicen y estudien a fondo el impacto y posibles soluciones la
información se hará del dominio público por los mismos canales.
Fecha de Liberación: 12 de Octubre de 2003
Ultima Revisión: - - - - -
Fuente: CERT/CC y diversos reportes de
Equipos de Respuesta a
Incidentes, así como Foros y
Listas de Discusión.
SISTEMAS AFECTADOS
==================
* Windows 2000
* Windows XP
* Windows 2003
DESCRIPCIÓN
===========
Recientemente se ha descubierto una nueva vulnerabilidad en el RPC
DCOM, previamente descrito en los boletines de seguridad: UNAM-CERT
* Boletín de Seguridad UNAM-CERT 2003-023, Vulnerabilidades
RPCSS en Microsoft Windows
<http://www.unam-cert.unam.mx/Boletines/Boletines2003/boletin-UNAM-CERT-2003-023.html>
* Boletín de Seguridad UNAM-CERT 2003-019, Explotación de
Vulnerabilidades en Interface RPC de Microsoft
<http://www.unam-cert.unam.mx/Boletines/Boletines2003/boletin-UNAM-CERT-2003-019.html>
Inclusive los equipos actualizados en dichas versiones son
susceptilbes a esta nueva vulnerabilidad.
Distintos equipos de seguridad en el mundo han confirmado la
existencia de un exploit para esta vulnerabilidad por lo que se
recomienda tomar en cuenta las soluciones que se describen en la
sección correspondiente.
IMPACTO
=======
Actualmente esta vulnerabilidad se ha implementado en pruebas de
laboratorio teniendo como resultado un ataque de negación de
servicio (DoS), sin embargo no se descarta que en las próximas horas
esta sea modificada para ejecutar otro tipo de ataque, incluso la
ejecución de código arbitrario dentro de la máquina comprometida.
Es importante señalar que no se descarta la posibilidad que sea
implementado el código para actuar en forma de gusano.
Esta vulnerabilidad afecta sistemas Windows 2000/XP/2003 incluso
aquellos que les fueron aplicados las actualizaciones indicadas en
el *Boletín de Seguridad UNAM-CERT 2003-019, Explotación de
Vulnerabilidades en Interface RPC de Microsoft
<http://www.unam-cert.unam.mx/Boletines/Boletines2003/boletin-UNAM-CERT-2003-019.html>*
y en los Boletines de Seguridad de Microsoft MS03-026
<http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp>
y MS03-029
<http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-039.asp>.
Actualmente el código del exploit es público por lo que se esperan
nuevas variantes en las próximas horas.
SOLUCIÓN
========
* Habilitar un Firewall Personal
* Habilitar el Firewall Personal en Windows XP o Windows Server 2003
En Windows XP para activar el /Servidor de Seguridad de conexión a
Internet (Internet Conexión Firewall)/.
1. 'Inicio', 'Panel de Control', 'Conexiones de Red e Internet',
'Conexiones de Red'.
2. Clic con el botón derecho del ratón la 'Conexión de Red de
Área Local' y seleccionar 'Propiedades'.
3. En la pestaña de 'Avanzadas' activar el cuadro de verificación
'Proteger mi equipo y mi red limitando o impidiendo el acceso
a él desde Internet' y. dar clic en 'Aceptar'.
* Habilitar el Firewall de Terceros en Windows 2000
Si se tiene el sistema operativo *Windows 2000*, será necesario
instalar un firewall de terceros (comercial o gratuito).
Muchos firewall personales están disponibles en versiones gratuitas
o de prueba.
Algunos distribuidores de firewalls personales son los siguientes:
* ZoneAlarm Pro (Zone Labs)
<http://www.zonelabs.com/store/content/catalog/products/zap/zap_details.jsp>
* Norton Personal Firewall (Symantec)
<http://www.symantec.com/sabu/nis/npf/>
* McAffe Personal Firewall (McAffe)
<http://us.mcafee.com/root/package.asp?pkgid=103&cid=8391>
* Tiny Personal Firewall (Tiny Software)
<http://www.tinysoftware.com/home/tiny2?la=EN>
* Outpost Firewall (Agnitum)
<http://www.agnitum.com/download/outpostfree.html>
* Kerio Personal Firewall (Kerio Technologies)
<http://www.kerio.com/us/kpf_download.html>
* BlackICE PC Protection (Internet Security Systems)
<http://blackice.iss.net/product_pc_protection.php>
* Instalar y Ejecutar un Software Antivirus
El CERT/UNAM-CERT recomiendan ampliamente a los usuarios instalar un
software antivirus, y mantener actualizados los archivos de firmas
de virus.
También puede consultar la página del UNAM-CERT correspondiente a:
UNAM-CERT: Recursos Sobre Virus Informáticos
http://www.unam-cert.unam.mx/faqs/virusygusanos.html
* NOTA: UNAM-CERT y diversos equipos de respuesta a incidentes no
descartan que la propagacion de dicho exploit pueda venir a
través de un código malicioso o gusano.
* APÉNDICE A. Referencias
=========================
* Exploit: http://www.securitylab.ru/_exploits/rpc2.c.txt
* Shellcode: http://www.securitylab.ru/_exploits/shell.asm.txt
* Discusión de Listas o Foros: Bugtraq en
http://www.securityfocus.org.
* Boletín de Seguridad UNAM-CERT-2003-023 -
http://www.unam-cert.unam.mx/Boletines/Boletines2003/boletin-UNAM-CERT-2003-023.html.
* Boletín de Seguridad UNAM-CERT-2003-019 -
http://www.unam-cert.unam.mx/Boletines/Boletines2003/boletin-UNAM-CERT-2003-019.html.
* Nota de Seguridad UNAM-CERT 2003-006 -
http://www.unam-cert.unam.mx/Notas/Notas2003/nota-UNAM-CERT-2003-006.html
* Nota de Vulnerabilidad del CERT/CC VU#561284 -
http://www.kb.cert.org/vuls/id/561284
* Nota de Vulnerabilidad del CERT/CC VU#326746 -
http://www.kb.cert.org/vuls/id/326746
* Boletín de Seguridad de Microsoft MS03-039 -
http://microsoft.com/technet/security/bulletin/MS03-039.asp
* Boletín de Seguridad de Microsoft MS03-026 -
http://microsoft.com/technet/security/bulletin/MS03-026.asp
* Artículo 824146 de Microsoft Knowledge Base -
http://support.microsoft.com?kbid=824146
* Artículo 823980 de Microsoft Knowledge Base -
http://support.microsoft.com?kbid=823980
* APÉNDICE B. Distribuidores Antivirus
=======================================
Para obtener mayor información sobre los distintos distribuidores
antivirus se pueden consultar los siguientes sitios Web:
* http://securityresponse.symantec.com
* http://us.mcafee.com/ <http://us.mcafee.com>
* http://www.trendmicro.com
* http://www.f-secure.com
* http://www.hacksoft.com <http://www.hacksoft.com.pe>
* http://www.f-prot.com
* http://www.vsantivirus.com
* APÉNDICE C. Virus y Gusanos
=============================
UNAM-CERT: Virus y Gusanos
http://www.unam-cert.unam.mx/gusanos
------------------------------------------------------------------------
El Departamento de Seguridad en Cómputo/UNAM-CERT agradece el
apoyo en las pruebas, elaboración y revisión de ésta Nota de
Seguridad a:
* Omar Hernández Sarmiento ([EMAIL PROTECTED])
* Fernando Zaragoza Hernández ([EMAIL PROTECTED])
* Jesús R. Jiménez Rojas ([EMAIL PROTECTED])
* Juan Carlos Guel López ([EMAIL PROTECTED])
------------------------------------------------------------------------
* INFORMACIÓN
=============
Éste documento se encuentra disponible en su formato original en la
siguiente dirección:
http://www.seguridad.unam.mx (espan~ol)
http://www.unam-cert.unam.mx (espan~ol)
Para mayor información acerca de éste boletín de seguridad contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : [EMAIL PROTECTED]
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
- --
Juan Carlos Guel Lopez
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
DGSCA, UNAM E-mail: [EMAIL PROTECTED]
Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43
Del. Coyoacan WWW: http://www.seguridad.unam.mx
04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQEVAwUBP4eUZXAvLUtwgRsVAQHWGgf/T7hUWJvRrm365u0ethQSm2aPav8rCiD2
eBR6RPWwWDT7PDuvdTsUlJKdx4IW6ky6Z0GrcUQw32p7hkpqC8sGPxU1URXQdMGx
pbggayjTRbqqBogwtMPzF3RxYPVwj5cifbTgSJg2ICSDRrQo/ip/vuQPRort5ARY
T4ihSdsgCKUMwvN77VjJsGFa2OKMa5TYF6EYmdof5j6epQkviaqKoTJlhD6DlwKD
0150o3TOXM8qjK2kS4V3k8r/TnJ0BsXnbQqR6I/aRU64EjvsFwN0/SOqy2yHPnYz
KWgrH01aBm7PU6b+23ltjjI4GWu92T7HBkF2rBKPHVYEl9gqYDwgEQ==
=7wyH
-----END PGP SIGNATURE-----
