Internet Security Systems ha descubierto una vulnerabilidad de desbordamiento de búfer explotable en la utilidad de Monitor de Red de Windows NT.
La vulnerabilidad descubierta es totalmente explotable lo que brinda al atacante la posibilidad de ejecutar cualquier código en el ordenador remoto y lograr los privilegios del usuario actual, con la particularidad de que el Monitor de Red sólo puede ser ejecutado por el Administrador, con lo que el atacante logrará obtener privilegios administrativos en caso de lograr realizar el ataque con éxito.
El Monitor de Red es una utilidad de administración de red que se instala de forma opcional con Windows NT 4.0 o Windows 2000. Esta herramienta permite a los administradores conocer el tráfico de red en todo momento, por este motivo su uso es bastante frecuente.
Existen dos versiones del producto, la básica incluida con el sistema operativo y la completa que se incluye como una parte de Systems Management Server (SMS). Si bien la versi¢n sencilla simplemente muestra el tr fico, presentando el estado actual de ocupaci¢n y peticiones, la versi¢n avanzada incluye un sniffer, esto es, es capaz de configurar la tarjeta de red en modo promiscuo y capturar toda la informaci¢n que circula en todo el segmento de red. Ambas versiones se ven afectadas por el problema, que est causado por un desbordamiento de bofer en los analizadores de protocolo de la utilidad.
Los analizadores de protocolo residen en librer¡as (dlls) y su funci¢n radica en identificar y examinar los diferentes protocolos empleados para la transmisi¢n de datos por la red. Segon los analizadores realizan su funci¢n se muestran los datos capturados en la ventana del Monitor de Red.
La identificaci¢n y captura de cada protocolo se realiza por un analizador diferente, as¡ por ejemplo cuando se detecta tr fico http el analizador http lo captura e interpreta para mostrar los datos y estad¡sticas en la utilidad. El Monitor de Red dejar de funcionar cuando intente interpretar datos mal construidos de forma malintencionada. En este caso se provocar un desbordamiento de bofer que podr ser empleado por un atacante para lograr el control del servidor.
Microsoft ha publicado un parche destinado a solucionar este problema, la actualizaci¢n pueden encontrarse en las siguientes direcciones:
Para Microsoft Windows NT 4.0 Server:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=25487
Para Microsoft Windows 2000:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=25485
Para Microsoft Systems Management Server 1.2:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=25505
Para Microsoft Systems Management Server 2.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=25514
Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=735
M s informaci¢n:
Bolet¡n de Microsoft
http://www.microsoft.com/technet/security/bulletin/ms00-083.asp
Preguntas y respuestas sobre la vulnerabilidad
http://www.microsoft.com/technet/security/bulletin/fq00-083.asp
Aviso de ISS
http://xforce.iss.net/alerts/advise69.php
Antonio Ropero
antonior@hispasec.com
http://www.hispasec.com
