Dentro del conjunto de boletines de seguridad de abril publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS10-020) de una actualización crítica destinada a corregir cinco errores en el cliente SMB de los sistemas Windows.
La primera de las vulnerabilidades, con CVE-2010-0269, afecta a toda la familia Windows permitiendo a un atacante remoto ejecutar código arbitrario.
Esta última vulnerabilidad fue descubierta por Mark Rabinovich, recien nombrado jefe de investigación y desarrollo de la empresa «Visuality System», especializada en productos que usan CIFS (denominación que introdujo Microsoft a la tecnología SMB en 1998).
El resto de vulnerabilidades se le debe a Laurent Gaffié de «stratsec», un investigador bastante conocido en las listas de seguridad y al que no se le da nada mal la búsqueda de agujeros en SMB a juzgar por sus resultados.
* CVE-2009-3676 – SMB Client Incomplete Response Vulnerability:
Esta vulnerabilidad afecta a sistemas Windows 7 y Windows Server 2008 R2 y podría permitir a un atacante causar una denegación de servicio.
El error se produce al enviar una cabecera NetBIOS con un valor en la que especifica un tamaño cuatro bytes menor que el tamaño real del paquete SMB.
Si observamos el CVE vemos que fue asignado en 2009, y es debido a que Gaffié, hizo publico un exploit y los detalles de la explotación en la lista de «Full Disclosure» el día 11 de noviembre de 2009.
En el mismo aviso, Gaffié criticaba con cierta dureza al MSRC y el SDL de Microsoft (el equipo de respuesta y el programa de desarrollo seguro respectivamente), al responderle, según Gaffié, que la vulnerabilidad no debería aparecer en un boletín de seguridad.
* CVE-2010-0269 – SMB Client Memory Allocation Vulnerability:
Como habíamos comentado, afecta a toda la gama de sistemas Windows y su explotación podría permitir a un atacante remoto sin autenticar ejecutar código arbitrario.
Está vulnerabilidad se debe a la forma en la que el cliente SMB de Windows reserva memoria cuando procesa las respuestas que son enviadas por un servidor SMB.
Un atacante remoto podría aprovechar está vulnerabilidad para ejecutar código arbitrario a través del envío de respuestas SMB especialmente manipuladas. La explotación puede efectuarse inyectando las respuestas en un ataque de hombre en el medio o mediante una página web que contenga una URI hacia un servidor SMB controlado por el atacante.
* CVE-2010-0270 – SMB Client Transaction Vulnerability:
Esta vulnerabilidad, descubierta por Gauffié en diciembre de 2009, afecta a sistemas Windows 7 y Windows Server 2008 R2 y podría permitir a un atacante ejecutar código arbitrario.
El error está en una falta de validación de ciertos campos en las respuestas generadas durante transacciones SMB. Según Gauffié, un desbordamiento de pila clásico y no protegido por un «canary value» (un valor controlado y monitorizado por el sistema para comprobar la corrupción de la pila).
Lo vectores de ataque son similares a los del CVE-2010-0269. El día 17 de abril, a través de su blog, Gauffié publicaba detalles y una prueba de concepto.
* CVE-2010-0476 – SMB Client Response Parsing Vulnerability:
Ejecución de código arbitrario en sistemas anteriores a Windows 7 y Windows Server 2008 R2, calificada de «baja» en estos últimos y no explotable en Windows 2000 y XP.
El error reside en la forma en que se procesan las respuestas en transacciones SMB. Un atacante remoto podría causar una denegación de servicio y potencialmente ejecutar código arbitrario a través de peticiones SMB especialmente manipuladas.
Los vectores de ataque son similares a los comentados en las dos
vulnerabilidades anteriores.
* CVE-2010-0477 – SMB Client Message Size Vulnerability:
Afecta a sistemas Windows 7 y Windows Server 2008 R2 y podría permitir a un atacante remoto sin autenticar ejecutar código arbitrario.
El fallo se encuentra en el cliente SMB. Al procesar ciertas peticiones SMB especialmente manipuladas, éstas podrían provocar que el cliente consuma completamente la petición recibida e indique un valor incorrecto al kernel Winsock (un interfaz similar a la librería Winsock2 orientada al modo kernel).
Los vectores de ataque son igualmente similares a los comentados en las vulnerabilidades anteriores.
Se recomienda actualizar los sistemas afectados mediante Windows Update o descargando los parches según versión desde la página del boletín de seguridad.
dgarcia@hispasec.com
Más información:
Boletín de seguridad de Microsoft MS10-020 – Crítico
Vulnerabilidades en el cliente SMB podrían permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/Bulletin/MS10-020.mspx
Windows 7 / Server 2008R2 Remote Kernel Crash
http://g-laurent.blogspot.com/2009/11/windows-7-server-2008r2-remote-kernel.html
MS10-020 (pof)
http://g-laurent.blogspot.com/2010/04/ms10-020.html
Deja una respuesta