 |
|
|
Vulnerabilidad Windows RDP El Equipo de Respuesta ante Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN-CERT, informa de una grave vulnerabilidad de explotación remota sobre corrupción de memoria en diferentes versiones de Microsoft Windows, esto podría permitir a los atacantes, ejecutar código arbitrario en una equipo objetivo. El CCN-CERT ha encontrado disponible públicamente una prueba de concepto (PoC) para explotar esta vulnerabilidad fechada el 15 de Marzo. Mencionada prueba de concepto ha tenido éxito en una máquina vulnerable. Existe una vulnerabilidad de corrupción de memoria sin inicializar en el protocolo de acceso remoto de escritorio (RDP), que es distribuido y usado en distintas versiones de Windows. Los errores se producen cuando se maneja un error mientras carga elementos dentro de una matriz. Esto puede causar que el driver aborte una conexión. Además con esta acción, un objeto es liberado, el cual puede ser asociado con la conexión y ocurrirá dos veces cuando cada canal es desconectado. Cuando el objeto es liberado por segunda vez, el driver recibiría un puntero virtual desde el objeto liberado y lo invocara.
El error de "uso post liberación" ocurre cuando se utiliza el campo "maxChannelIds" del T.125 ConnectMCS. Análisis Esta vulnerabilidad puede permitir a usuarios no autenticados la ejecución de código arbitrario en equipos remotos con privilegios de sistema. Para una explotación satisfactoria, el atacante deberá enviar una serie de paquetes especialmente modificados que causaran la ejecución de la vulnerabilidad. El protocolo RDP no está habilitado por defecto en las versiones de Windows. No obstante podría habilitarse si la Asistencia Remota está habilitada. Cualquier servidor configurado con autenticación de red deberán autenticarse contra el escritorio remoto antes de que el atacante pueda explotar la vulnerabilidad. La autenticación de red solo está disponible en Windows Vista, Windows 7, Windows Server 2008 y Windows Server 2008 R2. Equipos que corren RemoteFX también son vulnerables; no obstante, la explotación permitirá a los atacantes la ejecución de código en modo usuario con privilegios de red. Tanto SourceFire como Snort han generado reglas identificadas con "GID 1, SIDs 21570, 21571 y 21572." CCN-CERT define esta vulnerabilidad como de severidad alta, ya que la ejecución de código arbitrario puede realizarse sin interacción alguna del usuario. Detección Las siguientes versiones de Windows son vulnerables:
Explotación
Dos pruebas de concepto falsas tituladas “MS12-020 Exploit by Sabu” y “MS12-020 RDP exploit, remote code execution” han aparecido en Pastebin.com, su intención es eliminar todo el sistema de ficheros de UNIX y Windows. Soluciones temporales provistas por el vendedor
Microsoft ha publicado dos soluciones para deshabilitar y habilitar el NLA en los sistemas soportados:
|
|
|
Atentamente, Su misión es ser el centro de alerta y respuesta nacional que coopere y ayude a las administraciones públicas a responder, de forma rápida y eficiente, a los incidentes de seguridad que pudieran surgir y afrontar de forma activa las nuevas amenazas a las que hoy en día están expuestas. La finalidad principal del CCN-CERT es contribuir a la mejora del nivel de seguridad de los sistemas de información de la Administración Pública española. La comunidad a la que presta servicio está constituida por el conjunto de organismos de las distintas administraciones: general, autonómica y local. --------------------- Fingerprint: 4A7D 155F 38FA 2204 55F8 5E4C A62B AB99 7527 F5AF Descarga: https://www.ccn-cert.cni.es/index.php?option=com_docman&task=doc_download&gid=113&lang=es
Fingerprint: 0D4D BD59 ADCB 5466 0FB6 2529 C57E 8849 CE7B 4475 Descarga: https://www.ccn-cert.cni.es/index.php?option=com_docman&task=doc_download&gid=114&lang=es AVISO DE CONFIDENCIALIDAD: |
|
| © 2012 Centro Criptológico Nacional - C/Argentona, 20 28023 MADRID | www.ccn-cert.cni.es |
