Mas información sobre el error en servidor DNS de Microsoft Windows

Hablábamos el otro día sobre este serio problema de seguridad de Microsoft Windows,

Hoy encontramos mas información al respecto en Hispasec.

Microsoft confirmaba a través de una notificación oficial el día 13, la existencia de una vulnerabilidad que estaba siendo aprovechada por atacantes «de forma muy limitada» según la propia compañía. El problema se debe a un desbordamiento de memoria intermedia en la implementación de la interfaz RPC del servidor DNS (Domain Name System) de Windows a la hora de procesar peticiones mal formadas. Esto puede ser aprovechado por atacantes para ejecutar código arbitrario con privilegios de SYSTEM (control total sobre el sistema) si se envía una petición especialmente manipulada al sistema vulnerable.

Esto afectaría a un sistema sólo si mantiene un DNS (típicamente en servidores de Microsoft) y un potencial atacante tuviese acceso a unos puertos específicos. El ataque no sería posible exclusivamente a través de puerto 53, abierto habitualmente al exterior para las consultas DNS, sino que debe apoyarse de la capacidad de administración remota de DNS (a través de RPC) para explotar la vulnerabilidad y ejecutar código. Microsoft proporcionó un método para eliminar esta funcionalidad y proteger el sistema a falta de parche oficial.

Aun así, varios factores se han añadido a la ecuación para convertir esta vulnerabilidad en un verdadero peligro. Típicamente un controlador de dominio en red interna es también el servidor autorizado DNS del dominio. En una red interna, no suelen protegerse estos controladores tras un cortafuegos, o las reglas de filtrado pueden estar más relajadas. En ese caso, aunque no expuesto al exterior, el servidor podría quedar fácilmente comprometido desde la misma red interna. Si el controlador de dominio queda comprometido, el atacante habría llegado al corazón de una red interna controlada por el directorio activo.

El día 15, metasploit descubrió un exploit público capaz de aprovechar esta vulnerabilidad. Queda desde entonces abierta para todos la posibilidad de estudiar y experimentar con el fallo. El problema concreto parece estar en la función extractQuotedChar. Los ataques dejan de ser «limitados».

Además, aparece al poco tiempo un nuevo exploit (programado por Andrés Tarasco y Mario Ballano) que es capaz de aprovechar la vulnerabilidad sin necesidad de tener acceso al rango mencionado en un principio (1024-5000), sino que permitiría ejecutar código a través del puerto 445. Este puerto es usado para el protocolo SMB (Server Message Block) sobre TCP/IP, y se utiliza para el intercambio de ficheros, entre otros fines. Una vez más, este puerto no suele estar expuesto al exterior, pero mantiene e incluso agrava el problema en redes internas, donde estará abierto con casi toda seguridad. Este código también afecta a Windows 2003 con SP2.

Para colmo, se ha detectado un gusano que intenta aprovechar la vulnerabilidad. El nombre elegido es Rinbot, y una vez que logra ejecutar código, se conecta al dominio x.rofflewaffles.us y convierte a su víctima en zombie (parte de una botnet). La detección específica por parte de los antivirus es escasa todavía. Según el SANS, que ha usado VirusTotal para el análisis:

AhnLab-V3 2007.4.14.0 04.16.2007 Win32/IRCBot.worm.199680.I
AntiVir 7.3.1.52 04.16.2007 HEUR/Crypted
AVG 7.5.0.447 04.16.2007 Win32/CryptExe
DrWeb 4.33 04.16.2007 BackDoor.IRC.Sdbot.1299
eSafe 7.0.15.0 04.16.2007 Suspicious Trojan/Worm
Fortinet 2.85.0.0 04.16.2007 suspicious
Kaspersky 4.0.2.24 04.16.2007 Backdoor.Win32.VanBot.bx
Prevx1 V2 04.16.2007 Malware.Trojan.Backdoor.Gen
Symantec 10 04.16.2007 W32.Rinbot.A
Webwasher-Gateway 6.0.1 04.16.2007 Heuristic.Crypted

Sospechamos que esta vulnerabilidad provocará un nuevo parche fuera del ciclo habitual de Microsoft. De lo contrario no habría solución oficial hasta al menos el ocho de mayo. Se recomienda deshabilitar la capacidad de manejo remoto sobre RPC para los servidores DNS o bloquear el tráfico entrante no solicitado entre los puertos 1024 y 5000 e incluso 445 si no es necesario.

Para deshabilitar la capacidad de manejo remoto sobre RPC, en el registro, en la rama:

«HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters»

se debe añadir un valor DWORD llamado «RpcProtocol» con el valor 4. Es importante destacar que es necesario reiniciar el servicio DNS para que el cambio surta efecto.


Más Información:

Monday update on Microsoft Security Advisory 935964
http://blogs.technet.com/msrc/archive/2007/04/16/monday-update-on-microsoft-security-advisory-935964.aspx

Situation update on Microsoft Security Advisory 935964
http://blogs.technet.com/msrc/archive/2007/04/15/situation-update-on-microsoft-security-advisory.aspx

Vulnerability in RPC on Windows DNS Server Could Allow Remote Code
Execution.
http://www.microsoft.com/technet/security/advisory/935964.mspx

New Rinbot scanning for port 1025 DNS/RPC
http://isc.sans.org/diary.php?storyid=2643&rss

DNS Vulnerability being Exploited in the Wild
http://www.symantec.com/enterprise/security_response/weblog/2007/04/dns_exploit_time_is_upon_us.html

Selecciona con quien te sientas.

airtroductions-logo.gif

Imagina que tienes que hacer un viaje muy largo en avión, vas a tener que estar sentado un montón de horas con pasajeros que no conoces de nada y que pueden hacer que tu viaje sea muy agradable o una auténtica tortura. ¿No estaría bien que pudieses poner a tu lado a un pasajero de ese mismo vuelo que compartiese gustos comunes contigo (deportes, cine, trabajo, etc)?.

Pues esto es lo que hace esta web, se llama Airtroducions, y está en beta, te das de alta, pones tus gustos (hasta tu horóscopo), y el sistema te indica personas afines a ti para el vuelo elegido. Están los aeropuertos de todo el mundo, y según su sistema se encargan de avisar a los pasajeros por email de la localización de alguien afin.

imagenweb036.jpg

Desde luego, nada se pierde por probarlo. Si consigues que al menos unas cuantas horas las pases con alguien que te pueda mantener una conversación sobre un tema que a los dos interesa, está mas que bien. Incluso puedes encontrar a alguien que sea mas «especial». ¿Cuanto tardarán en aparecer la primera pareja que se va a casar después de conocerse a través de este sistema?

Un nuevo servicio, sobre algo que ya existe, apoyándose en la web como elemento de difusión, y en las personas como colaboradores.

Robert Fripp y The League of Crafty Guitars, la crónica.

lcg3.jpeg

Asistí a la primera visita de Robert Fripp a Zaragoza, con sus Crafty Guitars y lo primero que tengo que decir, unas premisas:

1.- Prefiero a King Crimson

2.- Robert Fripp: 5, Crafty Guitars: 10

3.- Iba convencido y entré ya condicionado.

4.- No hablaron en ningún momento, ni para presentar a la banda.

Dicho esto debo decir que salí encantado. La figura musical de Fripp pasó casi desapercibida. Vale, es un genio, es un buen músico, pero ayer no destacó, no era su momento. Salvo un par de canciones en la segunda parte y la propina final, perfectamente se podria haber quedado en el camerino. Y mas teniendo en cuenta que se colocó detrás de unos amplificadores / samplers que impedían que medio teatro lo viese.

dscn5478.jpg

Aún asi, que puedo decir, tener al fundador de King Crimson tan cerca, hace que se le perdonen algunos detalles.

En segundo lugar hablar de los 10 guitarristas que ayer vinieron. Fue un espectáculo, que sonido, que sincronización, que virtuosismo. Sonaban como si de una sola guitarra se tratase, pero con fuerza, con maestría. Una lástima que no conociésemos sus nombres, nadie los presentó, asi como nadie dijo nada sobre las canciones. En la primera parte repertorio propio (eso creo), y en la segunda algo creí reconocer de King Crimson, al menos un poderoso tema de «The power to believe», el primero «A Capella».

Eché de menos las anunciadas versiones de The Beatles, o Piazzolla, y sobretodo un tema clásico tipo «Epitaph» o «Starless», una pena.

Pero aún asi, la nota final es muy alta. Me quité una espinita, tuve a escasos metros a uno de los guitarristas mas influyentes del rock de todos los tiempos. En cuanto al público creo que estaba rendido desde el principio y el teatro a rebosar. Hicieron 2 bises solicitados por el público, y un tercero sin avisar (que mas de uno se perdió por no esperar un poco). Este último bis por cierto, fue acústico con los 11 guitarristas en primera fila del escenario. Un bonito detalle / regalo.

Robert Fripp, esta noche en el Principal

robert_fripp_in_performance.jpg

Ya se que este tema se sale de lo que suelo comentar por este blog, pero para mi es realmente importante.

Esta noche actúa en Zaragoza Robert Fripp, el guitarrista y fundador de King Crimson, probablemente el mejor grupo de rock progresivo que ha habido nunca, al que sigo desde hace muchos años, y del que tengo una gran colección de discos.

Curiosamente King Crimson no es un grupo excesivamente conocido, salvo en reducidos grupos. No ha hecho nunca nada comercial , e incluso algunos de sus discos rayan en los sonidos mas sucios y casi desagradables. Sin embargo es un grupo de referencia para muchos otros que han basado sus sonidos en los guitarreos de este inglés. No voy a comentar su amplia discografía, solamente nombrar que su primer disco (In the court of the Crimson King), sacado en 1969 (casi 40 años), suena como si se hubiese grabado hace unos meses, es atemporal, virtuoso, en definitiva una obra maestra.

schizoidman.jpg

Desgraciadamente no es la banda la que viene hoy a actuar. Lo hace con otros guitarristas en una agrupación a la que han llamado The Crafty Guitars, pero anuncian que algún tema de King Crimson sonará.

En Youtube, hay alguna actuación grabada de King Crimson.

La cita, esta noche a las 21:00 en el Principal de Zaragoza. ¿alguien se apunta?.

Ejecución de código arbitrario a través de RPC en servidor DNS de Microsoft Windows

Encuentro en Hispasec la siguiente noticia:

Ejecución de código arbitrario a través de RPC en servidor DNS de Microsoft Windows.

Este es un boletín con carácter de urgencia debido a la gravedad del fallo. Se ha encontrado una vulnerabilidad en el sistema DNS de Microsoft Windows que puede ser aprovechada por atacantes remotos para ejecutar código en el sistema.

El problema se debe a un desbordamiento de memoria intermedia en la implementación de la interfaz RPC del servidor DNS (Domain Name System) de Windows a la hora de procesar peticiones mal formadas enviadas a un puerto entre el 1024 y 5000. Esto puede ser aprovechado por usuarios no autenticados para ejecutar código arbitrario con privilegios de SYSTEM (control total sobre el sistema) si se envía una petición especialmente manipulada al sistema vulnerable.

Sólo se ven afectados los sistemas que ejecuten este servicio (DNS), que suele ser la gama «server» de Microsoft. Desde algunas fuentes afirman que ya se están produciendo ataques intentando aprovechar el fallo.

Se recomienda deshabilitar la capacidad de manejo remoto sobre RPC para los servidores DNS o bloquear el tráfico entrante no solicitado entre los puertos 1024 y 5000.

Para deshabilitar la capacidad de manejo remoto sobre RPC, en el registro, en la rama:
«HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters»
se debe añadir un valor DWORD llamado «RpcProtocol» con el valor 4.

Mas información.

Tu árbol genealógico 2.0

imagenweb034.jpg

He descubierto esta web a través de Mariano, que a su vez lo hace de Furilo. Se trata de un sitio dónde puedes empezar a montar tu árbol genealógico. Es sencilla, clara y eficaz. Además no hace falta registrarse para empezar a usarla.

Por buscarle algún «pero» podría comentar que está en inglés, y que dependiendo de como crees las líneas sucesorias (hijos), te cogerá el apellido de la madre en primer lugar. Formato americano.

La verdad es que en un par de minutos puedes tener montada media familia.

Se llama Geni, y está en beta.