Este ataque DoS va dirigido contra el servicio RPC (Remote Procedure Call) de Windows NT. Permite que un atacante, de forma remota, produzca un uso del 100% de la CPU en el sistema de la víctima por un periodo de tiempo indefinido.
Son vulnerables todos los sistemas NTs con los hotfixes anteriores al 9/10/98.
El ataque se puede provocar desde cualquier direccion mandando un datagrama RPC dirigido al puerto 135 de la víctima, y con una direccion de retorno «spoofeada» que haga creer que el datagrama contiene datos no validos provinientes de otro servidor RPC. El sistema de la víctima devolvera un paquete REJECT a la dirección de retorno «spoofeada», una vez recibido este nuevo sistema emitirá su vez otro paquete REJECT a la víctima, produciendose un bucle. El mensaje de error provocado por un solo paquete UDP puede elevar la utilización de la CPU hasta el 100% por un período de 5 a 120 segundos. Un ataque continuo con una anchura de banda baja, similar a la una conexion vía RTB, provocaría la utilización 100% de la CPU por un período de tiempo ilimitado.
Este mismo ataque puede provocar el bloqueo de una red local al provocar el consumo de todo su ancho de banda. Este efecto es debido al «bouncing» de paquetes, es decir, el sistema atacado da lugar a una despedida constantes de paquetes a otros NTs, y estos a su vez entran en la misma dinámica, con lo que nos encontramos con circuito recursivo que consume todo el ancho de banda. En una red Ethernet 10Mbps dos ordenadores implicados en un «bouncing» alcanzan aproximadamente 3.4Mbps de tráfico. Al incrementar el número de sistemas involucrados se llega al límite del ancho de banda, comenzando en ese momento las colisiones y las perdidas de paquetes.
Los administradores de red pueden proteger sus sistemas internos contra este ataque externo a través del filtrado de paquetes vía un cortafuegos. Sería necesario negar todos los paquetes UDP entrantes con destino al puerto 135 y como origen los puertos 7, 19 o 135.
Podremos detectar si estamos siendo atacados por este DoS mediante un analizador de redes buscando paquetes RPC corruptos, o examinando el administrados de tareas, donde el servicio RPCSS.EXE consumira el 100% de CPU. En tal caso podremos desconectar momentaneamente de la red uno de los sistemas implicados para acabar con el bucle.
Recomendamos actualizar el sistema con el parche de Microsoft, que modifica el servicio RPC de manera que detecta los paquetes spoofeados y no responde a ellos.
Windows NT 4.0 Intel
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/hotfixes-postSP3/snk-fix/snk-fixi.exe
Windows NT 4.0 Alpha
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/hotfixes-postSP3/snk-fix/snk-fixa.exe
Deja una respuesta