¿Vuelve el ping de la muerte?

El lunes se publicó una vulnerabilidad seria de Windows. Lo hizo Laurent Gaffié desde su blog al más puro estilo full disclosure, con exploit y todo, ahí es nada.

No se si habrá avisado o no a Microsoft antes de este disclosure pero quiero pensar que los ingenieros de Microsoft están ahora asustados, tratando de solucionar el problema cuanto antes y que en unos días publicarán un parche fuera de ciclo.

A mi, este problema me recuerda mucho al Ping de la Muerte de hace unos años. El PoD fue una vulnerabilidad que permitía que, mediante un paquete ping MUY largo, las máquinas se bloquearan y hubiera que reiniciarlas.

En aquellos días, mucho script kiddie del que pululaba por Internet se dedicaba a barrer la red en busca de máquinas vulnerables para tirarlas…

Recuerdo que yo tenía una máquina con Debian con el firewall de, no recuerdo exactamente si ipchains o iptables pero supongo que ipchains, por la fecha y un script que monitorizaba los logs continuamente en busca de evidencias de un ataque de “ping de la muerte”… cuando detectaba que una máquina me estaba atacando, le devolvía el ataque…

Era gracioso ver como las máquinas atacantes eran vulnerables a su propia medicina! 🙂

Esta vulnerabilidad es algo distinta, no se trata de ICMP sino esta vez se trata del SMB así que requiere que se tenga el SMB activo.

En el blog de 48bits tienen un artículo muy interesante que explica con un poco más de detalle y en español este nuevo problema.

Por suerte es un problema del SMB y utiliza los puertos 445/TCP y 139/TCP los típicos puertos Microsoft que ya están deberían estar bloqueados en la mayoría de los firewalls de Internet así que la exposición de las máquinas vulnerables en Internet debería ser bajo.

Según la gente de 48bits no se trata únicamente de un ataque de denegación de servicio sino de ejecución remota de código.

El problema es mayor si se confirma la ejecución remota de código (que parece que si) porque, aunque los puertos estén bloqueados en muchos firewalls, si cuando algún programador de virus haga uso de esta vulnerabilidad… , el virus entrará en las redes corporativas como suelen entrar todos los virus: correo electrónico, tráfico web, discos USB… y una vez ha traspasada la protección perimetral, estando en la intranet corporativa, estará libre para campar a sus anchas, infectando todas las máquinas internas.

El tema anterior da para un apunte entero que si algún día tengo tiempo escribiré pero de momento las preguntas…

  • ¿Segmentáis las intranets con firewalls o con ACL en los routers?
  • ¿Cómo se deben proteger las intranets de sus propias máquinas?
  • ¿Cómo decidis cómo segmentar vuestras intranets?
  • ¿Tenéis toda la red sin segmentar?

Tendremos que estar a día y actualizar cuando salga el parche.

Dejar un comentario?

0 Comentarios.

Deje un comentario

A %d blogueros les gusta esto: