miércoles, 17 de marzo de 1999

Ataque contra Servicios de Directorio de Microsoft

Se ha descubierto una vulnerabilidad del Servicio de Directorio
LDAP del servidor de correo Microsoft Exchange 5.5, que puede ser
corregida mediante un parche publicado por Microsoft.
Hay que destacar la rápida reacción de Microsoft para remediar la
debilidad en la función Bind de LDAP (Lightweight Directory Access
Protocol) para Exchange 5.5. Esta vulnerabilidad podría permitir un
ataque de denegación de servicio contra el servidor Exchange e
incluso bajo ciertas circunstancias podría permitir la ejecución de
código en el servidor.

El problema se encuentra al realizar una petición Bind mal
construida de forma que se sobrecarga el buffer y permite la
ejecución arbitraria de código. Este ataque también puede bloquear
el servicio LDAP de Exchange.

La función Bind en el servicio de directorio de Exchange 5.5 tiene
un buffer sin comprobación, y como ya hemos visto en casos similares,
una situación de este tipo posibilita que los ataques por sobrecarga
de buffer (buffer overflow) se lleven a cabo con éxito. Se puede
producir una denegación de servicio a través de una petición Bind
mal construida que llene el buffer y provoque que el servicio de
directorio deje de funcionar. El ordenador no necesitará
reiniciarse, pero el servicio afectado y todos los dependientes
de él, deberán arrancarse de nuevo para reanudar la mensajería.
Por otra parte, la ejecución arbitraria de código parece mucho más
difícil de realizar, en este caso la petición Bind debe construirse
de forma cuidadosa para lograr el efecto deseado. Ninguno de los
dos problemas pueden darse de forma accidental.

Los administradores de red pueden proteger los sistemas de ataques
externos mediante la inserción de una regla de filtrado en el
router (o en el firewall), que implique la denegación de todos
los paquetes TCP entrantes cuyo puerto de destino sea el 389.
Microsoft también recomienda a los administradores cuyos sistemas
que puedan verse afectados la instalación del parche.

Más información:
Información ISS
Boletín de seguridad de Microsoft
Microsoft Knowledge Base (KB)


Antonio Ropero



No hay comentarios:

Publicar un comentario en la entrada