Fabianxdcampos's Blog

Lo que vamos aprendiendo de lo que nos gusta

La Muerte súbita en windows vista y 7

Aunque a algunos les pueda resultar intrigante o de mal gusto es cierto que los que tenemos que bregar con el SO de redmond ya conocemos este síntoma…

se trata del famoso “pantalalzo Azul” del windows… al que en Xp estabamos más acostumbrados que con otros SO, aunque debo reconocer que ya lo habiamos visto en WINDOWS95 – 98 – 2000…

os dejo el articulo de la gente de Hispasec que amplia más esta info…

“Pantallazo azul” (BSOD) en Windows Vista y 7 a través de unidades
compartidas
——————————

————————————

Laurent Gaffié ha detectado un fallo de seguridad en Windows Vista que
podría permitir a un atacante provocar un BSOD (pantallazo azul, una
denegación de servicio) con solo enviar algunos paquetes de red
manipulados a una máquina que tenga activos los servicios de
compartición de archivos (protocolo SMB).

El fallo (incomprensiblemente simple) está en el intérprete de las
cabeceras SMB, concretamente en el driver srv2.sys. Como los
controladores operan en el “ring0”, la capa de abstracción del sistema
operativo más cercana al hardware (en contraste con el “ring3”, la capa
de usuario que no interactúa directamente con él) un fallo en cualquier
driver provoca que el sistema se bloquee por completo, al no poder
manejar la excepción correctamente. Se trata del temido pantallazo azul,
o BSOD. Los Windows anteriores a Windows 2000 no realizaban esta
separación de seguridad entre capas, por lo que todo operaba en el mismo
espacio de memoria y los fallos en el espacio de usuario podían causar
un bloqueo total del sistema. De ahí que los pantallazos azules fuesen
mucho más comunes en Windows 9x y Me.

El ataque es tan sencillo que recuerda a los “pings de la muerte” que
hicieron estragos a finales de los 90 en los sistemas Windows. Contenían
un fallo en la pila TCP que hacía que, si se enviaba un ping al sistema
especialmente manipulado (simplemente especificando con un parámetro,
por ejemplo, un tamaño mayor del paquete) se podía hacer que el sistema
dejara de responder. Esto, unido a la carencia de cortafuegos del
sistema, a que en aquellos momentos las conexiones se realizaban a
través de módem (que carecía de protección por cortafuegos o NAT) y el
hecho de no existir servicio de actualización automático del sistema,
hicieron muy popular el ataque.

Este fallo en el protocolo SMBv2 de compartición de archivos requiere
igualmente del envío de una sencilla secuencia de paquetes SMB (al
puerto 445) al sistema víctima con las cabeceras manipuladas. El truco
está en enviar un carácter “&” en el campo “Process Id High” de las
cabeceras SMBv2. Esto provoca una excepción en srv2.sys que provoca el
pantallazo azul. El exploit es público y realmente sencillo.

Vista mantiene el cortafuegos activo por defecto para su perfil
“público”, y esto mitiga el problema. Pero todo depende del perfil. Si
el usuario usa un perfil de cortafuegos (ya sea de dominio, o el perfil
privado) en el que permite las conexiones a sus unidades compartidas
(puerto 445, normalmente abierto en las redes locales) será vulnerable.
No es necesario que comparta realmente una unidad, solo que el protocolo
SMB esté activo y preparado para compartir en su sistema. Esto puede
resultar especialmente grave en redes internas.

No existe parche oficial disponible. Se recomienda filtrar el puerto 445
(y los implicados también en la compartición de ficheros 137-139) a
través de cortafuegos. También es posible detener el servicio “Servidor”
del sistema (aunque se puede llegar a perder funcionalidad). Otra
contramedida posible es desactivar la casilla “compartir archivos e
impresoras” que aparece en las propiedades de las interfaces de red.

Aunque el ataque no permite ejecución de código y es poco viable que
pueda propagarse por la red pública, sí que puede resultar más que
molesto en redes internas donde los usuarios normalmente mantienen
reglas de cortafuegos mucho más relajadas. ¿Vuelven los tiempos del
“ping de la muerte”?.

Más información:

Windows Vista/7 : SMB2.0 NEGOTIATE PROTOCOL REQUEST Remote B.S.O.D.
http://g-laurent.blogspot.com/2009/09/windows-vista7-smb20-negotiate-protocol.html

Sergio de los Santos
ssantos@hispasec.com

Miguel Pujante (miguelthepooh)
miquel.pujante@gmail.com

septiembre 8, 2009 - Posted by | entornos windows | , , , , , ,

1 comentario »

  1. Comentario…

    [..]Articulo Indexado Correctamente[..]…

    Trackback por Trackback | septiembre 11, 2009 | Responder


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: