Microsoft ha publicado una aviso de seguridad para advertir de una
vulnerabilidad en Remote Desktop Protocol que se ha demostrado puede
ser explotada para causar un ataque por denegación de servicio (DoS).
El protocolo RDP, Remote Desktop Protocol, permite a los usuarios de
Windows conectarse de forma remota a los sistemas creando sesiones
virtuales de sus escritorios. El protocolo es utilizado tanto en la
implementación de Terminal Services en Windows 2000 y Windows 2003
como en Remote Desktop en Windows XP.
Según la investigación de Microsoft, el envío de peticiones RDP
especialmente malformadas puede provocar una denegación de servicios
y el reinicio del sistema, si bien concluyen que la vulnerabilidad
no puede ser utilizada para ejecutar código arbitrario de forma
remota y, por tanto, no puede comprometer el control del sistema.
La vulnerabilidad puede afectar, dependiendo de si posee o no activado
el servicio afectado, a los siguientes sistemas:
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003
Microsoft Windows Server 2003 for Itanium-based Systems
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 con SP1 for Itanium-based Systems
Microsoft Windows Server 2003 x64 Edition
Entre las acciones recomendadas para para prevenir el ataque
encontramos: bloquear el puerto TCP/3389 en el firewall, desactivar
Terminal Services o Remote Desktop si no son necesarios, o utilizar
IPsec o VPN para las conexiones a estos servicios.
Microsoft ha publicado este aviso de seguridad para informar a sus
usuarios del impacto de la vulnerabilidad y las medidas recomendadas
para mitigarlo, a la espera de publicar el correspondiente parche
en el que ya están trabajando, ya que los detalles para explotar la
vulnerabilidad fueron desvelados en Internet.
De hecho estos últimos días se ha podido comprobar un aumento de los
barridos en Internet buscando el puerto TCP/3389, puerto por defecto
del servicio afectado, lo que podría corresponder a potenciales
atacantes buscando sistemas vulnerables.
En Hispasec hemos criticado alguna que otra vez la política de
Microsoft de publicar los parches un día prefijado, concretamente el
segundo martes de cada mes, ya que según nuestra opinión los parches
deberían ser publicados cuando estén preparados y no retrasarlos de
forma artificial.
Si bien en esta ocasión tenemos que felicitar a Microsoft por avisos
como éste, donde adelanta a los usuarios información sobre
vulnerabilidades y medidas de mitigación aun sin disponer del parche.
bernardo@hispasec.com
Más información:
Vulnerability in Remote Desktop Protocol (RDP) Could Lead to Denial of Service
http://www.microsoft.com/technet/security/advisory/904797.mspx
Deja una respuesta