[Seguridad] Denegación de servicio en TODOS losTerminal Services para Windows

[Seguridad] Denegación de servicio en TODOS losTerminal Services para
Windows

Microsoft ha publicado una aviso de seguridad para advertir de una
vulnerabilidad en Remote Desktop Protocol que se ha demostrado puede ser
explotada para causar un ataque por denegación de servicio (DoS).

El protocolo RDP, Remote Desktop Protocol, permite a los usuarios de
Windows conectarse de forma remota a los sistemas creando sesiones
virtuales de sus escritorios. El protocolo es utilizado tanto en la
implementación de Terminal Services en Windows 2000 y Windows 2003 como en
Remote Desktop en Windows XP.

Según la investigación de Microsoft, el envío de peticiones RDP
especialmente malformadas puede provocar una denegación de servicios y el
reinicio del sistema, si bien concluyen que la vulnerabilidad no puede ser
utilizada para ejecutar código arbitrario de forma remota y, por tanto, no
puede comprometer el control del sistema.

La vulnerabilidad puede afectar, dependiendo de si posee o no activado el
servicio afectado, a los siguientes sistemas:

* Microsoft Windows 2000 Service Pack 4
* Microsoft Windows XP Service Pack 1
* Microsoft Windows XP Service Pack 2

Microsoft Windows XP Professional x64 Edition Microsoft Windows Server
2003 Microsoft Windows Server 2003 for Itanium-based Systems Microsoft
Windows Server 2003 Service Pack 1 Microsoft Windows Server 2003 con SP1
for Itanium-based Systems Microsoft Windows Server 2003 x64 Edition

Entre las acciones recomendadas para para prevenir el ataque encontramos:
bloquear el puerto TCP/3389 en el firewall, desactivar Terminal Services o
Remote Desktop si no son necesarios, o utilizar IPsec o VPN para las
conexiones a estos servicios.

Microsoft ha publicado este aviso de seguridad para informar a sus
usuarios del impacto de la vulnerabilidad y las medidas recomendadas para
mitigarlo, a la espera de publicar el correspondiente parche en el que ya
están trabajando, ya que los detalles para explotar la vulnerabilidad
fueron desvelados en Internet.

De hecho estos últimos días se ha podido comprobar un aumento de los
barridos en Internet buscando el puerto TCP/3389, puerto por defecto del
servicio afectado, lo que podría corresponder a potenciales atacantes
buscando sistemas vulnerables.

En Hispasec hemos criticado alguna que otra vez la política de Microsoft
de publicar los parches un día prefijado, concretamente el segundo martes
de cada mes, ya que según nuestra opinión los parches deberían ser
publicados cuando estén preparados y no retrasarlos de forma artificial.

Si bien en esta ocasión tenemos que felicitar a Microsoft por avisos como
éste, donde adelanta a los usuarios información sobre vulnerabilidades y
medidas de mitigación aun sin disponer del parche.

Más información:

Vulnerability in Remote Desktop Protocol (RDP) Could Lead to Denial of
Service
http://www.microsoft.com/technet/se...04797.mspx

Bernardo Quintero
bernardo@hispasec.com



Jose Manuel Tella Llop
MVP - Windows
jmtella@XXXcompuserve.com (quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.