smaug_
15-04-2007, 16:27
Ejecución de código arbitrario a través de RPC en servidor DNS de Microsoft Windows
Este es un boletín con carácter de urgencia debido a la gravedad del fallo. Se ha encontrado una vulnerabilidad en el sistema DNS de Microsoft Windows que puede ser aprovechada por atacantes remotos para ejecutar código en el sistema.
El problema se debe a un desbordamiento de memoria intermedia en la implementación de la interfaz RPC del servidor DNS (Domain Name System) de Windows a la hora de procesar peticiones mal formadas enviadas a un puerto entre el 1024 y 5000. Esto puede ser aprovechado por usuarios no autenticados para ejecutar código arbitrario con privilegios de SYSTEM (control total sobre el sistema) si se envía una petición especialmente manipulada al sistema vulnerable.
Sólo se ven afectados los sistemas que ejecuten este servicio (DNS), que suele ser la gama "server" de Microsoft. Desde algunas fuentes afirman que ya se están produciendo ataques intentando aprovechar el fallo.
Se recomienda deshabilitar la capacidad de manejo remoto sobre RPC para los servidores DNS o bloquear el tráfico entrante no solicitado entre los puertos 1024 y 5000.
Para deshabilitar la capacidad de manejo remoto sobre RPC, en el registro, en la rama:
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\DNS\Parameters"
se debe añadir un valor DWORD llamado "RpcProtocol" con el valor 4.
Más Información:
Microsoft Security Advisory (935964)
http://www.microsoft.com/technet/security/advisory/935964.mspx
Fuente:
www.hispasec.com
Este es un boletín con carácter de urgencia debido a la gravedad del fallo. Se ha encontrado una vulnerabilidad en el sistema DNS de Microsoft Windows que puede ser aprovechada por atacantes remotos para ejecutar código en el sistema.
El problema se debe a un desbordamiento de memoria intermedia en la implementación de la interfaz RPC del servidor DNS (Domain Name System) de Windows a la hora de procesar peticiones mal formadas enviadas a un puerto entre el 1024 y 5000. Esto puede ser aprovechado por usuarios no autenticados para ejecutar código arbitrario con privilegios de SYSTEM (control total sobre el sistema) si se envía una petición especialmente manipulada al sistema vulnerable.
Sólo se ven afectados los sistemas que ejecuten este servicio (DNS), que suele ser la gama "server" de Microsoft. Desde algunas fuentes afirman que ya se están produciendo ataques intentando aprovechar el fallo.
Se recomienda deshabilitar la capacidad de manejo remoto sobre RPC para los servidores DNS o bloquear el tráfico entrante no solicitado entre los puertos 1024 y 5000.
Para deshabilitar la capacidad de manejo remoto sobre RPC, en el registro, en la rama:
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\DNS\Parameters"
se debe añadir un valor DWORD llamado "RpcProtocol" con el valor 4.
Más Información:
Microsoft Security Advisory (935964)
http://www.microsoft.com/technet/security/advisory/935964.mspx
Fuente:
www.hispasec.com