Microsoft acaba de publicar un boletín de seguridad para informar de la existencia de diversas vulnerabilidades de seguridad en la implementación RPC de los sistemas operativos Windows (NT Workstation 4.0, NT Server 4.0, NT Server 4.0 edición servidor de terminales, Windows 2000, Windows XP y Windows Server 2003). Algunas de estas vulnerabilidades son especialmente críticas, ya que pueden ser utilizadas para la ejecución de código arbitrario en los sistemas vulnerables.
En primer lugar conviene aclarar que, a pesar de que a primera vista pueda parecer que nos encontramos con el mismo problema anunciado hace escasamente un par de meses y de sobra conocida por ser la vulnerabilidad utilizada por el gusano MS-Blaster, en realidad son dos vulnerabilidades totalmente diferentes y que, por tanto, requiere la instalación del nuevo parche publicado por Microsoft.
Las nuevas vulnerabilidades se encuentran en los mensajes RPC utilizados para la activación de DCOM. Utilizando la función CoGetInstanceFromFile de la API de Windows, es posible enviar el mensaje de activación de DCOM. Si se manipulan la longitud de determinados campos de este mensaje, es posible sobrescribir porciones de la memoria utilizada por la pila con código definido por el usuario. El envío de únicamente cuatro o cinco secuencias de mensajes es suficiente para provocar una excepción del sistema. En el momento que se produce la excepción, controlando los valores de los registros eax y ecx, es posible escribir un dword arbitrario que apunte a cualquier dirección de la memoria.
Llegados a este punto, el atacante dispone de la posibilidad de ejecutar cualquier código en el ordenador de la víctima. Esto puede (o podrá) ser utilizado por futuros gusanos de distribución masiva al estilo del MS-Blaster.
Existen diversas medidas que pueden tomarse para evitar esta vulnerabilidad, aunque sólo una de ellas es (en principio y hasta que no se demuestre lo contrario) totalmente efectiva: la instalación del nuevo parche publicado por Microsoft y que ya está disponible en Windows Update así como a través del boletín publicado por Microsoft (ver la dirección en el apartado «Más información»). Desde Hispasec recomendamos que, siempre que sea posible, se instale este parche.
Las otras medidas no evitarán que el sistema sea vulnerable, pero si pueden evitar que un atacante remoto pueda aprovechar esta vulnerabilidad. Estas medidas adicionales pasan por el filtrado del tráfico RPC (puertos UDP 135, 137, 138 y 445 y los puertos TCP 135, 139, 445 y 593) procedente de redes en las que no confiamos, desactivar el servicio COM Internet Services, utilizar un cortafuegos personal o anular el servicio DCOM en el sistema operativo. Todas estas medidas tienen sus efectos secundarios y pueden provocar que determinados servicios o aplicaciones dejen de funcionar.
Por último destacar que tanto Microsoft como eEye han publicado sendas herramientas que permiten identificar los equipos de la red que son vulnerables a este problema. La herramienta de Microsoft funciona directamente desde la línea de órdenes del sistema operativo, mientras que la de eEye es una aplicación Windows con un interfaz gráfico.
Más información
Boletín de seguridad de Microsoft (MS03-039)
Buffer Overrun In RPCSS Service Could Allow Code Execution
http://www.microsoft.com/technet/security/bulletin/MS03-039.asp
Microsoft RPC Heap Corruption Vulnerability (Part II)
http://www.eeye.com/html/Research/Advisories/AD20030910.html
Aviso del CERT (CA-2003-23)
RPCSS Vulnerabilities in Microsoft Windows
http://www.cert.org/advisories/CA-2003-23.html
Microsoft Windows contains buffer overflow in RPCSS Service DCOM
activation routine
http://www.kb.cert.org/vuls/id/483492
Microsoft Windows contains buffer overflow in RPCSS Service DCOM
activation routine
http://www.kb.cert.org/vuls/id/254236
KB 824146 Scanner for MS03-026 and MS03-03 Patches
http://www.microsoft.com/downloads/details.aspx?familyid=13ae421b-7bab-41a2-843b-fad838fe472e
RPC DCOM Vulnerability Scanner and Worm Disinfection Utility
http://www.eeye.com/html/Research/Tools/RPCDCOM.html
Xavier Caballé
xavi@hispasec.com
Noticias Hispasec
