domingo, 28 de noviembre de 2004

Ejecución remota de código a través de Microsoft WINS

Se ha descubierto una vulnerabilidad en 'wins.exe' de Microsoft
Windows que puede ser explotada por atacantes para ejecutar código
arbitrario en un sistema afectado.

WINS (Windows Internet Naming Service) es un sistema de resolución de
nombres de NetBIOS que traduce nombres de máquina a las IPs que tienen
asociadas, con lo que se evita tener que hacer broadcast de paquetes
para poder realizar dicha conversión.

La vulnerabilidad afecta a Windows NT 4.0 Server, Windows NT Server 4.0
Terminal Server Edition, Windows 2000 Server y Windows Server 2003.

Un usuario malicioso puede construir un paquete WINS y mandarlo al
puerto TCP 42 sobre el que opera este servicio para modificar un
puntero de memoria y así escribir contenidos en direcciones arbitrarias
de memoria. Esto puede ser explotado para provocar la ejecución
remota de código arbitrario.

A la espera de un parche de actualización que corrija la vulnerabilidad,
Microsoft ha publicado un documento al respecto en el que informa que
está investigando este problema y recomienda filtrar el acceso al puerto
42 (tanto tcp como udp), desactivarlo o usar IPSec para asegurar el
tráfico entre servidores WINS.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft WINS Memory Overwrite Lets Remote Users Execute Arbitary Code
http://www.securitytracker.com/alerts/2004/Nov/1012341.html

Vulnerability Wins.exe remote vulnerability.
http://www.immunitysec.com/downloads/instantanea.pdf

How to help protect against a WINS security issue
http://support.microsoft.com/kb/890710