La vulnerabilidad RPC\/DNS en Microsoft Windows est\u00c3\u00a1 dando que hablar por su gravedad y r\u00c3\u00a1pida evoluci\u00c3\u00b3n. El pasado d\u00c3\u00ada 13 de abril emit\u00c3\u00adamos un bolet\u00c3\u00adn con car\u00c3\u00a1cter de urgencia previendo el potencial alcance del problema. Las sospechas se han confirmado y hoy esta vulnerabilidad supone una seria amenaza en muchos entornos.
\nMicrosoft confirmaba a trav\u00c3\u00a9s de una notificaci\u00c3\u00b3n oficial el d\u00c3\u00ada 13, la existencia de una vulnerabilidad que estaba siendo aprovechada por atacantes \u00abde forma muy limitada\u00bb seg\u00c3\u00ban la propia compa\u00c3\u00b1\u00c3\u00ada. El problema se debe a un desbordamiento de memoria intermedia en la implementaci\u00c3\u00b3n de la interfaz RPC del servidor DNS (Domain Name System) de Windows a la hora de procesar peticiones mal formadas. Esto puede ser aprovechado por atacantes para ejecutar c\u00c3\u00b3digo arbitrario con privilegios de SYSTEM (control total sobre el sistema) si se env\u00c3\u00ada una petici\u00c3\u00b3n especialmente manipulada al sistema vulnerable.
\nEsto afectar\u00c3\u00ada a un sistema s\u00c3\u00b3lo si mantiene un DNS (t\u00c3\u00adpicamente en servidores de Microsoft) y un potencial atacante tuviese acceso a unos puertos espec\u00c3\u00adficos. El ataque no ser\u00c3\u00ada posible exclusivamente a trav\u00c3\u00a9s de puerto 53, abierto habitualmente al exterior para las consultas DNS, sino que debe apoyarse de la capacidad de administraci\u00c3\u00b3n remota de DNS (a trav\u00c3\u00a9s de RPC) para explotar la vulnerabilidad y ejecutar c\u00c3\u00b3digo. Microsoft proporcion\u00c3\u00b3 un m\u00c3\u00a9todo para eliminar esta funcionalidad y proteger el sistema a falta de parche oficial.
\nAun as\u00c3\u00ad, varios factores se han a\u00c3\u00b1adido a la ecuaci\u00c3\u00b3n para convertir esta vulnerabilidad en un verdadero peligro. T\u00c3\u00adpicamente un controlador de dominio en red interna es tambi\u00c3\u00a9n el servidor autorizado DNS del dominio. En una red interna, no suelen protegerse estos controladores tras un cortafuegos, o las reglas de filtrado pueden estar m\u00c3\u00a1s relajadas. En ese caso, aunque no expuesto al exterior, el servidor podr\u00c3\u00ada quedar f\u00c3\u00a1cilmente comprometido desde la misma red interna. Si el controlador de dominio queda comprometido, el atacante habr\u00c3\u00ada llegado al coraz\u00c3\u00b3n de una red interna controlada por el directorio activo.
\nEl d\u00c3\u00ada 15, metasploit descubri\u00c3\u00b3 un exploit p\u00c3\u00bablico capaz de aprovechar esta vulnerabilidad. Queda desde entonces abierta para todos la posibilidad de estudiar y experimentar con el fallo. El problema concreto parece estar en la funci\u00c3\u00b3n extractQuotedChar. Los ataques dejan de ser \u00ablimitados\u00bb.
\nAdem\u00c3\u00a1s, aparece al poco tiempo un nuevo exploit (programado por Andr\u00c3\u00a9s Tarasco y Mario Ballano) que es capaz de aprovechar la vulnerabilidad sin necesidad de tener acceso al rango mencionado en un principio (1024-5000), sino que permitir\u00c3\u00ada ejecutar c\u00c3\u00b3digo a trav\u00c3\u00a9s del puerto 445. Este puerto es usado para el protocolo SMB (Server Message Block) sobre TCP\/IP, y se utiliza para el intercambio de ficheros, entre otros fines. Una vez m\u00c3\u00a1s, este puerto no suele estar expuesto al exterior, pero mantiene e incluso agrava el problema en redes internas, donde estar\u00c3\u00a1 abierto con casi toda seguridad. Este c\u00c3\u00b3digo tambi\u00c3\u00a9n afecta a Windows 2003 con SP2.
\nPara colmo, se ha detectado un gusano que intenta aprovechar la vulnerabilidad. El nombre elegido es Rinbot, y una vez que logra ejecutar c\u00c3\u00b3digo, se conecta al dominio x.rofflewaffles.us y convierte a su v\u00c3\u00adctima en zombie (parte de una botnet). La detecci\u00c3\u00b3n espec\u00c3\u00adfica por parte de los antivirus es escasa todav\u00c3\u00ada. Seg\u00c3\u00ban el SANS, que ha usado VirusTotal para el an\u00c3\u00a1lisis:<\/p>\n
AhnLab-V3 2007.4.14.0 04.16.2007 Win32\/IRCBot.worm.199680.I
\nAntiVir 7.3.1.52 04.16.2007 HEUR\/Crypted
\nAVG 7.5.0.447 04.16.2007 Win32\/CryptExe
\nDrWeb 4.33 04.16.2007 BackDoor.IRC.Sdbot.1299
\neSafe 7.0.15.0 04.16.2007 Suspicious Trojan\/Worm
\nFortinet 2.85.0.0 04.16.2007 suspicious
\nKaspersky 4.0.2.24 04.16.2007 Backdoor.Win32.VanBot.bx
\nPrevx1 V2 04.16.2007 Malware.Trojan.Backdoor.Gen
\nSymantec 10 04.16.2007 W32.Rinbot.A
\nWebwasher-Gateway 6.0.1 04.16.2007 Heuristic.Crypted<\/p>\n
Sospechamos que esta vulnerabilidad provocar\u00c3\u00a1 un nuevo parche fuera del ciclo habitual de Microsoft. De lo contrario no habr\u00c3\u00ada soluci\u00c3\u00b3n oficial hasta al menos el ocho de mayo. Se recomienda deshabilitar la capacidad de manejo remoto sobre RPC para los servidores DNS o bloquear el tr\u00c3\u00a1fico entrante no solicitado entre los puertos 1024 y 5000 e incluso 445 si no es necesario.<\/p>\n
Para deshabilitar la capacidad de manejo remoto sobre RPC, en el registro, en la rama:<\/p>\n
\u00abHKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\DNS\\Parameters\u00bb<\/p>\n
se debe a\u00c3\u00b1adir un valor DWORD llamado \u00abRpcProtocol\u00bb con el valor 4. Es importante destacar que es necesario reiniciar el servicio DNS para que el cambio surta efecto.<\/p>\n