Descubierta una vulnerabilidad en el servicio RCP Endpoint Mapper,
presente por defecto en el puerto TCP/135 en Windows NT 4.0, 2000 y
XP. Microsoft publica el parche para Windows 2000 y XP, mientras que
deja a todos los sistemas Windows NT vulnerables, con la única excusa
de que la solución en este sistema es muy complicada. A buen
entendedor, con pocas palabras bastan.
A continuación reproduzco parte del «una-al-día» de Hispasec del
30/12/2002, donde bajo el título de «Actualizaciones de Microsoft, un
arma de doble filo», vaticinaba este tipo de actuaciones:
>>>
Windows NT, crónica de una muerte anunciada
Ante este panorama algunos podrían decidir no migrar hacia los nuevos
sistemas de Microsoft y quedarse con plataformas como por ejemplo
Windows NT, sistemas con años en producción, bien conocidos por los
administradores, con múltiples Service Packs a sus espaldas que han
ido puliendo sus defectos y mejorándolo, que ya se encuentran bien
implantados, cumplen su cometido y no necesitan de las nuevas
funcionalidades que propone Microsoft.
Desgraciadamente Windows NT tiene sus días contados, y eso es fácil
de predecir, bien observando la historia reciente de Microsoft, bien
dejándose llevar por simples reglas de mercado: hay que vender los
nuevos productos. En este apartado la seguridad juega un papel
crítico, incluso como herramienta para forzar a la actualización.
Igual que no hay solución para ciertos problemas de seguridad en
Windows 95 o en Internet Explorer 5.0, obligando al usuario a
actualizar a Windows 98 o IE6.0 si quiere estar seguro. Es sólo
cuestión de tiempo que Microsoft deje de dar soporte a Windows NT.
<<<
Dicho y hecho. Con fecha 27/03/2003 Microsoft publica un boletín de
seguridad para advertir de una vulnerabilidad en el servicio RCP
Endpoint Mapper que podría ser explotada en ataques DoS (denegación
de servicios) contra plataformas Windows NT 4.0, 2000 y XP. Según
el criterio de Microsoft, se trata de una vulnerabilidad catalogada
como importante. La sorpresa viene en el apartado de actualizaciones,
donde se informa que sólo están disponibles los parches para las
versiones de Windows 2000 y XP.
La excusa oficial
Según informa Microsoft en su boletín de seguridad, no puede
proporcionar un parche para corregir la vulnerabilidad por las
propias limitaciones arquitectónicas de Windows NT 4.0, que es poco
robusta en comparación con Windows 2000, y que requeriría demasiadas
modificaciones para solucionar el problema. Es más, advierte que si
llevara a cabo dichas modificaciones, no podría asegurar que las
aplicaciones diseñadas para Windows NT pudieran seguir funcionando
una vez actualizado el sistema.
Por si no queda claro, podemos dirigirnos a la sección de
preguntas frecuentes (FAQ) del mencionado boletín de seguridad:
>>>
¿Publicará Microsoft en el futuro un parche para Windows NT 4.0?
Microsoft ha investigado exhaustivamente una solución y ha
determinado que la arquitectura de Windows NT 4.0 no soportará
un parche para este tema, ahora o en el futuro.
<<<
La lectura
Lo primero que tendríamos que preguntar a Microsoft es que hubiera
sucedido si esta vulnerabilidad llega a descubrirse hace unos años,
poco tiempo después de comenzar la distribución de Windows NT 4.0.
¿Tampoco hubiera existido parche, además de admitir que no puede
solucionarlo porque su arquitectura es poco robusta?
Según información oficial en la web de Microsoft, Windows NT 4.0
Server debe tener parches de seguridad hasta el 1 de enero de 2005.
http://www.microsoft.com/ntserver/ProductInfo/Availability/FAQ.asp#16
A falta de que la presión de los clientes hiciera cambiar el rumbo,
todo indica que Microsoft ha decidido acortar el ciclo de vida de
Windows NT 4.0 y jubilarlo antes de tiempo, forzando la migración
a Windows 2000.
Mientras tanto, a los administradores de sistemas de Windows NT 4.0
sólo les queda bloquear el acceso indiscriminado al puerto 135 en el
perímetro, cosa que ya deberían hacer con anterioridad, y esperar
a que no haya ataques internos mientras planean la migración a
Windows 2000. No en vano, esto es sólo el principio.
bernardo@hispasec.com
Más información:
Microsoft Security Bulletin MS03-010
Flaw in RPC Endpoint Mapper Could Allow Denial of Service Attacks
http://www.microsoft.com/technet/security/bulletin/MS03-010.asp
30/12/2002 – Actualizaciones de Microsoft, un arma de doble filo
http://www.hispasec.com/unaaldia/1527
Deja una respuesta