[Seguridad] Aumento significativo de escaneos contra el puerto 42

10/01/2005 - 14:10 por Ubuntu | Informe spam
tal y como recomienda el artículo instalar el parche en cuestión y
bloquear el famoso puerto 42, estar siempre vigilantes :-)

conversación desviada a microsoft.public.es.seguridad


Aumento significativo de escaneos contra el puerto 42
http://www.vsantivirus.com/09-01-05.htm

Por Angela Ruiz
XXXangela@videosoft.net.uyXXX

Según reporta K-OTik Security, desde hace varios días se ha venido
observando un aumento significativo del número de escaneos contra el
puerto 42.

El Internet Storm Center del Sans Institute, ha confirmado la
existencia de una actividad anormalmente elevada. Estos ataques están
vinculados a la reciente vulnerabilidad descubierta en el servicio
WINS (Microsoft Windows Internet Name Service) bajo Windows NT Server
4.0, Microsoft Windows NT Server 4.0 Edición Terminal Server, Windows
2000 Server y Windows Server 2003.

Los investigadores de Immunity Sec. habían publicado los detalles
técnicos de esta vulnerabilidad, y varios códigos con exploits para
este fallo, están actualmente en circulación.

K-OTik Security confirma que al menos dos de estos exploits son
totalmente operativos. Aunque uno provoca que el servicio deje de
responder, solo basta una pequeña modificación de su código para
hacerlo totalmente funcional.

El segundo exploit compromete seriamente al sistema. Aunque ninguno
está disponible públicamente en la red, el aumento notorio del escaneo
de los puertos TCP y UDP 42, parece indicar que estos u otros exploits
similares ya están siendo utilizados.

Además, un nuevo gusano con características de troyano, se está
propagando actualmente, valiéndose de esta vulnerabilidad en WINS.
Detectado como Winser.A, se aprovecha de varios exploits (privados y
públicos), e identifica sus potenciales objetivos mediante el escaneo
del puerto TCP/42.

Cuando Winser se ejecuta en un equipo vulnerable se copia en él como
ccSetMngr.exe. Una vez infectado el equipo, el gusano abre una puerta
trasera y utiliza los puertos TCP 36010 y 37264 para recibir
instrucciones y enviar datos.

Winser.A puede ser instalado por otro troyano, Hzdoor.A (también
identificado como Hazdoor, Hax, Winxor, SetMngr y Reethax, entre otros
nombres).

Los equipos comprometidos por Winser.A, también pueden ser controlados
a través de canales de IRC.

Se recomienda la urgente instalación del parche MS04-045 publicado en
diciembre de 2004 por Microsoft. Dicho parche bloquea la mencionada
vulnerabilidad, e impide la propagación de estos troyanos, y la acción
de cualquier otro exploit que pretenda aprovecharse en el futuro del
mismo fallo (ver "Relacionados").

También se recomienda bloquear el acceso a Internet de los puertos
TCP/42 y UDP/42.

El servicio WINS no se instala en ninguna configuración por defecto de
los sistemas operativos mencionados (Windows NT Server 4.0, Windows NT
Server 4.0 Terminal Server Edition, Windows 2000 Server, Windows
Server 2003). En cambio, se instala por defecto en Microsoft Small
Business Server 2000 y Microsoft Windows Small Business Server 2003,
aunque en este caso, la comunicación está bloqueada desde Internet, y
disponible solo en la red local.

El Servicio de Nombres de Internet de Windows (WINS por las siglas en
inglés de Windows Internet Naming Service), es un protocolo basado en
NetBIOS, utilizado para asignar direcciones IP a los nombres
descriptivos de las computadoras de una red.

En una red Windows, a cada máquina se le asigna un nombre único,
utilizado entre otras cosas para compartir recursos. Generalmente se
hace uso de un servidor WINS para resolver los nombres de las máquinas
que se encuentren en dos redes IP distintas, o para disminuir la
cantidad de solicitudes entre máquinas de una misma red IP. Este
servidor permite que las máquinas se registren cuando se encienden o
conectan a la red, y mantiene actualizada la tabla de correspondencia
NOMBRE = DIRECCION IP.


Relacionados:

MS04-045 Ejecución remota de código en WINS (870763)
http://www.vsantivirus.com/vulms04-045.htm

Troj/Hzdoor.A. Troyano que usa exploit de WINS
http://www.vsantivirus.com/troj-hzdoor-a.htm

Troj/Winser.A. Explota la vulnerabilidad en WINS
http://www.vsantivirus.com/troj-winser-a.htm


Más información y fuente:

Augmentation significative du nombre de scans contre le port 42
http://www.k-otik.com/news/20041214.WinsScan.php




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
Galería de imagenes Ubuntu Linux (Español).
http://www.ubuntu-es.org/image
 

Leer las respuestas

#1 JM Tella Llop [MVP Windows]
10/01/2005 - 15:04 | Informe spam
*solo en los servers y con WINS activado en la conexion a internet -de
locos, vamos - XD

carece de sentido en el resto de grupos esta noticia totalmente
anecdotica.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.



"Ubuntu" wrote in message
news:41e28106$0$51253$
tal y como recomienda el artículo instalar el parche en cuestión y
bloquear el famoso puerto 42, estar siempre vigilantes :-)

conversación desviada a microsoft.public.es.seguridad


Aumento significativo de escaneos contra el puerto 42
http://www.vsantivirus.com/09-01-05.htm

Por Angela Ruiz


Según reporta K-OTik Security, desde hace varios días se ha venido
observando un aumento significativo del número de escaneos contra el
puerto 42.

El Internet Storm Center del Sans Institute, ha confirmado la
existencia de una actividad anormalmente elevada. Estos ataques están
vinculados a la reciente vulnerabilidad descubierta en el servicio
WINS (Microsoft Windows Internet Name Service) bajo Windows NT Server
4.0, Microsoft Windows NT Server 4.0 Edición Terminal Server, Windows
2000 Server y Windows Server 2003.

Los investigadores de Immunity Sec. habían publicado los detalles
técnicos de esta vulnerabilidad, y varios códigos con exploits para
este fallo, están actualmente en circulación.

K-OTik Security confirma que al menos dos de estos exploits son
totalmente operativos. Aunque uno provoca que el servicio deje de
responder, solo basta una pequeña modificación de su código para
hacerlo totalmente funcional.

El segundo exploit compromete seriamente al sistema. Aunque ninguno
está disponible públicamente en la red, el aumento notorio del escaneo
de los puertos TCP y UDP 42, parece indicar que estos u otros exploits
similares ya están siendo utilizados.

Además, un nuevo gusano con características de troyano, se está
propagando actualmente, valiéndose de esta vulnerabilidad en WINS.
Detectado como Winser.A, se aprovecha de varios exploits (privados y
públicos), e identifica sus potenciales objetivos mediante el escaneo
del puerto TCP/42.

Cuando Winser se ejecuta en un equipo vulnerable se copia en él como
ccSetMngr.exe. Una vez infectado el equipo, el gusano abre una puerta
trasera y utiliza los puertos TCP 36010 y 37264 para recibir
instrucciones y enviar datos.

Winser.A puede ser instalado por otro troyano, Hzdoor.A (también
identificado como Hazdoor, Hax, Winxor, SetMngr y Reethax, entre otros
nombres).

Los equipos comprometidos por Winser.A, también pueden ser controlados
a través de canales de IRC.

Se recomienda la urgente instalación del parche MS04-045 publicado en
diciembre de 2004 por Microsoft. Dicho parche bloquea la mencionada
vulnerabilidad, e impide la propagación de estos troyanos, y la acción
de cualquier otro exploit que pretenda aprovecharse en el futuro del
mismo fallo (ver "Relacionados").

También se recomienda bloquear el acceso a Internet de los puertos
TCP/42 y UDP/42.

El servicio WINS no se instala en ninguna configuración por defecto de
los sistemas operativos mencionados (Windows NT Server 4.0, Windows NT
Server 4.0 Terminal Server Edition, Windows 2000 Server, Windows
Server 2003). En cambio, se instala por defecto en Microsoft Small
Business Server 2000 y Microsoft Windows Small Business Server 2003,
aunque en este caso, la comunicación está bloqueada desde Internet, y
disponible solo en la red local.

El Servicio de Nombres de Internet de Windows (WINS por las siglas en
inglés de Windows Internet Naming Service), es un protocolo basado en
NetBIOS, utilizado para asignar direcciones IP a los nombres
descriptivos de las computadoras de una red.

En una red Windows, a cada máquina se le asigna un nombre único,
utilizado entre otras cosas para compartir recursos. Generalmente se
hace uso de un servidor WINS para resolver los nombres de las máquinas
que se encuentren en dos redes IP distintas, o para disminuir la
cantidad de solicitudes entre máquinas de una misma red IP. Este
servidor permite que las máquinas se registren cuando se encienden o
conectan a la red, y mantiene actualizada la tabla de correspondencia
NOMBRE = DIRECCION IP.


Relacionados:

MS04-045 Ejecución remota de código en WINS (870763)
http://www.vsantivirus.com/vulms04-045.htm

Troj/Hzdoor.A. Troyano que usa exploit de WINS
http://www.vsantivirus.com/troj-hzdoor-a.htm

Troj/Winser.A. Explota la vulnerabilidad en WINS
http://www.vsantivirus.com/troj-winser-a.htm


Más información y fuente:

Augmentation significative du nombre de scans contre le port 42
http://www.k-otik.com/news/20041214.WinsScan.php




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
Galería de imagenes Ubuntu Linux (Español).
http://www.ubuntu-es.org/image

Preguntas similares