CCN-CERT AL 01/12 Grave vulnerabilidad en Windows RDP (MS12-020)

Boletín de Alertas CCN-CERT

Vulnerabilidad Windows RDP

El Equipo de Respuesta ante Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN-CERT, informa de una grave vulnerabilidad de explotación remota sobre corrupción de memoria en diferentes versiones de Microsoft Windows, esto podría permitir a los atacantes, ejecutar código arbitrario en una equipo objetivo. El CCN-CERT ha encontrado disponible públicamente una prueba de concepto (PoC) para explotar esta vulnerabilidad fechada el 15 de Marzo. Mencionada prueba de concepto ha tenido éxito en una máquina vulnerable.

Existe una vulnerabilidad de corrupción de memoria sin inicializar en el protocolo de acceso remoto de escritorio (RDP), que es distribuido y usado en distintas versiones de Windows. Los errores se producen cuando se maneja un error mientras carga elementos dentro de una matriz. Esto puede causar que el driver aborte una conexión. Además con esta acción, un objeto es liberado, el cual puede ser asociado con la conexión y ocurrirá dos veces cuando cada canal es desconectado. Cuando el objeto es liberado por segunda vez, el driver recibiría un puntero virtual desde el objeto liberado y lo invocara.

El error de "uso post liberación" ocurre cuando se utiliza el campo "maxChannelIds" del T.125 ConnectMCS.

Análisis

Esta vulnerabilidad puede permitir a usuarios no autenticados la ejecución de código arbitrario en equipos remotos con privilegios de sistema. Para una explotación satisfactoria, el atacante deberá enviar una serie de paquetes especialmente modificados que causaran la ejecución de la vulnerabilidad.

El protocolo RDP no está habilitado por defecto en las versiones de Windows. No obstante podría habilitarse si la Asistencia Remota está habilitada. Cualquier servidor configurado con autenticación de red deberán autenticarse contra el escritorio remoto antes de que el atacante pueda explotar la vulnerabilidad. La autenticación de red solo está disponible en Windows Vista, Windows 7, Windows Server 2008 y Windows Server 2008 R2. Equipos que corren RemoteFX también son vulnerables; no obstante, la explotación permitirá a los atacantes la ejecución de código en modo usuario con privilegios de red.

Tanto SourceFire como Snort han generado reglas identificadas con "GID 1, SIDs 21570, 21571 y 21572."

CCN-CERT define esta vulnerabilidad como de severidad alta, ya que la ejecución de código arbitrario puede realizarse sin interacción alguna del usuario.

Detección

Las siguientes versiones de Windows son vulnerables:
  • Windows XP SP 3
  • Windows XP Professional x64 Edition SP 2
  • Windows Server 2003 SP 2
  • Windows Server 2003 x64 Edition SP 2
  • Windows Server 2003 with SP2 for Itanium-based Systems
  • Windows Vista SP 2
  • Windows Vista x64 Edition SP 2
  • Windows Server 2008 for 32-bit Systems SP 2
  • Windows Server 2008 for x64-based Systems SP 2
  • Windows Server 2008 for Itanium-based Systems SP 2
  • Windows 7 for 32-bit Systems and Windows 7 for 32-bit Systems SP 1
  • Windows 7 for x64-based Systems and Windows 7 for x64-based Systems SP 1
  • Windows Server 2008 R2 for x64-based Systems and Windows Server 2008 R2 for x64-based Systems SP 1
  • Windows Server 2008 R2 for Itanium-based Systems and Windows Server 2008 R2 for Itanium-based Systems SP 1
Explotación

Dos pruebas de concepto falsas tituladas “MS12-020 Exploit by Sabu” y “MS12-020 RDP exploit, remote code execution” han aparecido en Pastebin.com, su intención es eliminar todo el sistema de ficheros de UNIX y Windows.

Soluciones temporales provistas por el vendedor
  • Deshabilitar Servicios de Terminal, Escritorio Remoto, Asistencia Remota y Windows Small Business Server 2003 Remote Web WorkPlace si no son requeridos.
  • Bloquear el puerto TCP 3389 en el firewall perimetral.
  • Habilitar la autenticación de nivel de red en sistemas que lo soporten en Windows Vista, Windows 7, Windows Server 2008 y Windows Server 2008 R2.
Microsoft ha publicado dos soluciones para deshabilitar y habilitar el NLA en los sistemas soportados:

Atentamente,

Equipo CCN-CERT

//////////////////////////////////////////////////////////////////////////////////////////

Esta es una lista de notificaciones del CCN-CERT. Por favor, no responda a este correo. Para establecer contacto, por favor, diríjase a This email address is being protected from spambots. You need JavaScript enabled to view it.

Este correo ha sido codificado en formato ISO-8859-1. Si no visualiza ciertos caracteres especiales, cambie manualmente la configuración de su cliente de correo.

//////////////////////////////////////////////////////////////////////////////////////////


El CCN-CERT, el CERT Gubernamental español, es el Servicio de Respuesta ante Incidentes de Seguridad de las Tecnologías de la Información del Centro Criptológico Nacional (https://www.ccn-cert.cni.es).

Su misión es ser el centro de alerta y respuesta nacional que coopere y ayude a las administraciones públicas a responder, de forma rápida y eficiente, a los incidentes de seguridad que pudieran surgir y afrontar de forma activa las nuevas amenazas a las que hoy en día están expuestas.

La finalidad principal del CCN-CERT es contribuir a la mejora del nivel de seguridad de los sistemas de información de la Administración Pública española. La comunidad a la que presta servicio está constituida por el conjunto de organismos de las distintas administraciones: general, autonómica y local.

---------------------
Claves PGP Públicas
---------------------
This email address is being protected from spambots. You need JavaScript enabled to view it.
--------------------

Fingerprint: 4A7D 155F 38FA 2204 55F8 5E4C A62B AB99 7527 F5AF

Descarga: https://www.ccn-cert.cni.es/documentos-publicos/1354-public-ccn-cert-global/file.html

This email address is being protected from spambots. You need JavaScript enabled to view it.
------------------------

Fingerprint: 0D4D BD59 ADCB 5466 0FB6 2529 C57E 8849 CE7B 4475

Descarga: https://www.ccn-cert.cni.es/documentos-publicos/1354-public-ccn-cert-global/file.html

//////////////////////////////////////////////////////////////////////////////////////////

AVISO DE CONFIDENCIALIDAD:
El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

© 2012 Centro Criptológico Nacional - C/Argentona, 20 28023 MADRID www.ccn-cert.cni.es
Ministerio de Defensa
CNI
CCN
CCN-CERT