Descubierta grave vulnerabilidad en servidores Windows 2000


18 de Marzo de 2003

Un búfer no controlado en un componente de Windows 2000 puede poner a miles de servidores con IIS (Internet Information Server, servidor web de Microsoft) instalado en un grave compromiso de seguridad, tal y como ha advertido la propia compañía el pasado lunes.

Según la empresa de Bill Gates, el fallo afecta tan sólo a Windows 2000 (ni a la versión XP ni a la versión NT). La vulnerabilidad viene causada por un protocolo llamado WebDAV (World Wide Web Distributed Authoring and Versioning) que funciona bajo ISS. Se compone de un conjunto de extensiones de HTTP que proporciona el estándar para editar y manejar ficheros entre ordenadores de Internet. Afecta a los sistemas que trabajen con versiones posteriores a IIS 5.0 sobre Windows 2000, aun con el Service Pack 3 instalado en ellos.

Ha sido la propia Microsoft la que ha advertido de que el problema está siendo ampliamente aprovechado por vándalos para atacar máquinas que funcionan bajo este sistema operativo. Insta a todos los usuarios a aplicar el parche o deshabilitar la opción para solucionar el problema tan pronto como sea posible. En el boletín de seguridad oficial de la compañía se puede leer: Un atacante podría explotar la vulnerabilidad enviando un paquete HTTP especialmente formado a una máquina con IIS. La petición podría hacer que el servidor cayera o permitir la ejecución de código arbitrario bajo el contexto de LocalSystem.

La vulnerabilidad es una reminiscencia del fallo del que se aprovechaba el tristemente famoso virus Code Red, y del que hace tan sólo unos días se ha conocido una nueva versión circulando.

El problema más grave para los afectados, es que el fallo se ha convertido en un 0day (zero day). Un día cero se produce cuando el conocimiento de una vulnerabilidad cae en manos no oficiales que se aprovechan de la situación explotando el fallo antes de que los propios responsables del software tengan conocimiento del mismo. Esto provoca que no exista parche para la vulnerabilidad y que, por tanto, los vándalos exploten sistemas a sus anchas a sabiendas de que todos serán vulnerables.

Microsoft tuvo conocimiento del primer ataque con éxito que se aprovechaba del problema el pasado miércoles, mientras ha sido el lunes, con cinco días de retraso, cuando ha publicado un boletín de seguridad junto con el parche correspondiente (al que aún le queda por demostrar su efectividad). La compañía espera que la aplicación del parche sea masiva por parte de los administradores, pues ha calificado el problema como crítico.

Reproducido de
www.forzis.com