banner

MS11-083 ¿El nuevo Conflicker?

Un poco de historia:

El gusano conflicker apareció en octubre de 2008, se propagaba rápidamente por Internet aprovechando una vulnerabilidad del sistema operativo Microsoft Windows denominada MS08-067 (vulnerabilidad por la cuál un atacante podría ejecutar código remoto en el Sistema).

En la Actualidad:

El pasado 8 de Noviembre de 2011, Microsoft hacia publico una vulnerabilidad (MS11-083) en la implementación de las librerías que controlan las comunicaciones TCP/IP, mediante la cuál un atacante podría enviar paquetes UDP manipulados cuidadosamente para ejecutar código remoto en los Sistemas Microsoft Window.

The vulnerability could allow remote code execution if an attacker sends a continuous flow of specially crafted UDP packets to a closed port on a target system.

Lo más preocupante es que para explotar la vulnerabilidad no se necesita que en el equipo con Windows, exista un servicio (era lo necesario para el gusano conflicker) escuchando en el puerto UDP, sino que, al contrario de lo habitual, lo que necesita es que el puerto UDP se encuentre cerrado.

Por esta razón ha sido bautizado por los usuarios de twitter como la vulnerabilidad descubierta por Chuck Norris: "MS11-083 was discovered by Chuck Norris. "Chuck Norris can exploit sockets that aren't even listening."

Esto se debe a que lo habitual para interactuar con un sistema de forma remota, es mediante el ataque dirigido contra un determinado puerto que se encuentra "escuchando", es decir, a la espera de conexiones, mediante la cuál se intenta realizar el ataque, y hasta este momento no se había contemplado la posibilidad de atacar a un Sistema que no presenta ningún puerto abierto/escuchando

Incluso cabe la duda de si incluso con el cortafuegos activado el ataque (MS11-083) sigue siendo válido!.

Las siguientes líneas de texto, van dirigidas a personal con habilidades técnicas avanzadas, adminsitradores de sistemas, profesionales de la seguridad informática, etc.

¿Cómo detecto que estoy siendo atacado?

rootentropy ha creado unos script básico para detectar si nuestro sistema esta recibiendo un flujo de paquetes UDP extraños, con objeto de identificar si estamos siendo atacados y/o existe la sospecha de ello.



ms11-083_sniffer.py
getports.sh





Con getports.sh. se listan los puertos UDP del sistema, y con el archivo escrito en python (ms11-083 sniffer.py) se detecta y guarda un registro del tráfico de red relacionado con el tráfico UDP vulnerable (MS11-083).

Nota: Para ejecutar el script de python, tendréis que tener instalado y correctamente configurado el python para windows.

Sistemas afectados por la vulnerabilidad:

Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2.

Microsoft asegura que si tienes activada la actualización automática en el Sistema Operativo, no es necesario realizar ninguna acción adicional, pues en su boletín de actualizaciones críticas ya ha sido lanzado, y los sistemas se estan actualizando. No obstante, te recomendamos que fuerces la actualización del sistema operativo lo antes posible.


No hay comentarios :

Publicar un comentario en la entrada