Descubierta grave vulnerabilidad en servidores Windows 2000
18 de Marzo de 2003
Un búfer no controlado en un componente de Windows 2000 puede poner a miles de servidores con IIS (Internet Information Server, servidor web de Microsoft) instalado en un grave compromiso de seguridad, tal y como ha advertido la propia compañía el pasado lunes.
Ha sido la propia Microsoft la que ha advertido de que el problema está siendo ampliamente aprovechado por vándalos para atacar máquinas que funcionan bajo este sistema operativo. Insta a todos los usuarios a aplicar el parche o deshabilitar la opción para solucionar el problema tan pronto como sea posible. En el boletín de seguridad oficial de la compañía se puede leer: Un atacante podría explotar la vulnerabilidad enviando un paquete HTTP especialmente formado a una máquina con IIS. La petición podría hacer que el servidor cayera o permitir la ejecución de código arbitrario bajo el contexto de LocalSystem.
La vulnerabilidad es una reminiscencia del fallo del que se aprovechaba el tristemente famoso virus Code Red, y del que hace tan sólo unos días se ha conocido una nueva versión circulando.
El problema más grave para los afectados, es que el fallo se ha convertido en un 0day (zero day). Un día cero se produce cuando el conocimiento de una vulnerabilidad cae en manos no oficiales que se aprovechan de la situación explotando el fallo antes de que los propios responsables del software tengan conocimiento del mismo. Esto provoca que no exista parche para la vulnerabilidad y que, por tanto, los vándalos exploten sistemas a sus anchas a sabiendas de que todos serán vulnerables.
Microsoft tuvo conocimiento del primer ataque con éxito que se aprovechaba del problema el pasado miércoles, mientras ha sido el lunes, con cinco días de retraso, cuando ha publicado un boletín de seguridad junto con el parche correspondiente (al que aún le queda por demostrar su efectividad). La compañía espera que la aplicación del parche sea masiva por parte de los administradores, pues ha calificado el problema como crítico.
Reproducido de
www.forzis.com