Según la investigación de Microsoft, el envío de peticiones RDP especialmente malformadas puede provocar una denegación de servicios y el reinicio del sistema, si bien concluyen que la vulnerabilidad no puede ser utilizada para ejecutar código arbitrario de forma remota y, por tanto, no puede comprometer el control del sistema.
La vulnerabilidad puede afectar, dependiendo de si posee o no activado el servicio afectado, a los siguientes sistemas:
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003
Microsoft Windows Server 2003 for Itanium-based Systems
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 con SP1 for Itanium-based Systems
Microsoft Windows Server 2003 x64 Edition
Entre las acciones recomendadas para para prevenir el ataque encontramos: bloquear el puerto TCP/3389 en el firewall, desactivar Terminal Services o Remote Desktop si no son necesarios, o utilizar IPsec o VPN para las conexiones a estos servicios.
Microsoft ha publicado este aviso de seguridad para informar a sus usuarios del impacto de la vulnerabilidad y las medidas recomendadas para mitigarlo, a la espera de publicar el correspondiente parche en el que ya están trabajando, ya que los detalles para explotar la vulnerabilidad fueron desvelados en Internet.
De hecho estos últimos días se ha podido comprobar un aumento de los barridos en Internet buscando el puerto TCP/3389, puerto por defecto del servicio afectado, lo que podría corresponder a potenciales atacantes buscando sistemas vulnerables.
En Hispasec hemos criticado alguna que otra vez la política de Microsoft de publicar los parches un día prefijado, concretamente el segundo martes de cada mes, ya que según nuestra opinión los parches deberían ser publicados cuando estén preparados y no retrasarlos de forma artificial.
Si bien en esta ocasión tenemos que felicitar a Microsoft por avisos como éste, donde adelanta a los usuarios información sobre vulnerabilidades y medidas de mitigación aun sin disponer del parche.
Más información:
Vulnerability in Remote Desktop Protocol (RDP) Could Lead to Denial of Service
http://www.microsoft.com/technet/security/advisory/904797.mspx
Bernardo Quintero
bernardo@hispasec.com
Noticias Hispasec
