Vulnerabilidad en el Monitor de Red de Windows NT

Internet Security Systems ha descubierto una vulnerabilidad de
desbordamiento de búfer explotable en la utilidad de Monitor de Red de
Windows NT.
La vulnerabilidad descubierta es totalmente explotable lo que brinda
al atacante la posibilidad de ejecutar cualquier código en el
ordenador remoto y lograr los privilegios del usuario actual, con la
particularidad de que el Monitor de Red sólo puede ser ejecutado por
el Administrador, con lo que el atacante logrará obtener privilegios
administrativos en caso de lograr realizar el ataque con éxito.

El Monitor de Red es una utilidad de administración de red que se
instala de forma opcional con Windows NT 4.0 o Windows 2000. Esta
herramienta permite a los administradores conocer el tráfico de red en
todo momento, por este motivo su uso es bastante frecuente.

Existen dos versiones del producto, la básica incluida con el sistema
operativo y la completa que se incluye como una parte de Systems
Management Server (SMS). Si bien la versión sencilla simplemente
muestra el tráfico, presentando el estado actual de ocupación y
peticiones, la versión avanzada incluye un sniffer, esto es, es capaz
de configurar la tarjeta de red en modo promiscuo y capturar toda la
información que circula en todo el segmento de red. Ambas versiones
se ven afectadas por el problema, que está causado por un
desbordamiento de búfer en los analizadores de protocolo de la
utilidad.

Los analizadores de protocolo residen en librerías (dlls) y su función
radica en identificar y examinar los diferentes protocolos empleados
para la transmisión de datos por la red. Según los analizadores
realizan su función se muestran los datos capturados en la ventana del
Monitor de Red.

La identificación y captura de cada protocolo se realiza por un
analizador diferente, así por ejemplo cuando se detecta tráfico http
el analizador http lo captura e interpreta para mostrar los datos y
estadísticas en la utilidad. El Monitor de Red dejará de funcionar
cuando intente interpretar datos mal construidos de forma
malintencionada. En este caso se provocará un desbordamiento de búfer
que podrá ser empleado por un atacante para lograr el control del
servidor.

Microsoft ha publicado un parche destinado a solucionar este problema,
la actualización pueden encontrarse en las siguientes direcciones:

Para Microsoft Windows NT 4.0 Server:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=25487

Para Microsoft Windows 2000:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=25485

Para Microsoft Systems Management Server 1.2:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=25505

Para Microsoft Systems Management Server 2.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=25514

Más información:

Boletín de Microsoft
http://www.microsoft.com/technet/security/bulletin/ms00-083.asp

Preguntas y respuestas sobre la vulnerabilidad
http://www.microsoft.com/technet/security/bulletin/fq00-083.asp

Aviso de ISS
http://xforce.iss.net/alerts/advise69.php

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

• View all posts by Hispasec →
• Blog