martes, 15 de febrero de 2011

Publican una grave vulnerabilidad que afecta a entornos con Directorio Activo

Un tal Cupidon-3005 ha publicado un exploit que permite ejecutar código en servidores Windows 2003 desde un equipo en la misma red interna. No existe parche disponible. Como anécdota, el tal Cupidon-3005 (que en realidad, aunque no se ha pronunciado oficialmente, es un nuevo seudónimo de Laurent Gaffié para la ocasión) parece arremeter contra otros investigadores de seguridad en los comentarios del exploit.

El fallo se debe a un error al comprobar el tamaño de un búfer asignado a la cadena "Server Name" que podría provocar un desbordamiento de memoria intermedia basada en heap en el fichero mrxsmb.sys. Para llevar a cabo el ataque, se debe enviar un paquete de petición Browser Election al servidor SMB (de compartición de ficheros e impresoras) vulnerable. El exploit lo envía concretamente al puerto 138 sin necesidad de autenticación en un entorno de directorio activo.

Por ahora el exploit permite provocar una denegación de servicio, pero parece ser posible modificarlo para conseguir ejecución de código. Microsoft no ha publicado "advisory" oficial y por supuesto, no existe parche oficial disponible.

El autor, que se esconde bajo el seudónimo Cupidon-3005 (porque el exploit apareció el 14 de febrero), hace referencia en los comentarios del exploit a Winny Thomas, h07 y al propio Laurent Gaffié, que no es más que él mismo. Gaffié descubrió en septiembre de 2009 un método para provocar un pantallazo azul en Windows a través de SMB. Rubén Santamarta supo aprovecharlo para conseguir la ejecución de código.

Como anécdota, parece arremeter contra otros investigadores de seguridad en los comentarios de exploit.

* Contra Immunity: "So your 31337 con is the only place to get 0day? Here's some pre-auth / broadcast 0day free for all on FD with 0% conference whoring, and punks are welcome as well."

Immunity comercializa CANVAS, una plataforma de exploits. En un mensaje enviado a una lista de seguridad recientemente, invitaba a todos a participar en una conferencia en la que revelarían un 0day en SMB.

* Contra Rubén Santamarta: "Special Valentines Greetings: Ruben Santamarta, is your password still "hijodeputa"? You look even more like a dumb fuck than you used to."

En referencia a la revelación de la base de datos de rootkit.com, en la que aparecía su usuario con esa contraseña. Nos consta que Rubén ha aclarado el asunto con el implicado, que ha acabado disculpándose y arrepintiéndose por email.

* "Feel free to reuse this code without restrictions and ask Kingcope-Fag to perform his FTP FU on SMB, he might have more luck than MS."

Kingcope es un conocido investigador de vulnerabilidades. Su último descubrimiento fue un grave problema en el servidor FTP de IIS de Microsoft.

Finalmente se "despide" con "Happy St-Valentine Bitches, MSFT found that one loooooooong time ago....". Gaffié también está muy relacionado con MSRC (Microsoft Security Response Center ).


Sergio de los Santos
ssantos@hispasec.com


Más información:

MS Windows Server 2003 AD Pre-Auth BROWSER ELECTION Remote Heap Overflow
http://archives.neohapsis.com/archives/fulldisclosure/2011-02/0284.html

No hay comentarios:

Publicar un comentario en la entrada