DoS y Posible ejecución remota de código en Windows Vista y Windows 7

10-09-2009                                                CA-AL-08-0909
 

PROBLEMA: Tanto Windows Vista como el nuevo Windows 7 utilizan una nueva versión del protocolo SMB (Server Message Block), llamada SMB2.0. Este protocolo es el que entre otras cosas permite el compartir archivos e impresoras en redes locales.

PLATAFORMA: Las plataformas afectadas son las que incluyen SMB2.0. Estas incluyen Windows Vista, Windows 7 y posiblemente Windows Server 2008. Específicamente Windows XP y Windows 2000 no están afectados ya que no implementan SMB2.0 Una lista completa y actualizada se puede encontrar en http://www.securityfocus.com/bid/36299

DESCRIPCIÓN: El driver que implementa SMB2.0 realiza una validación incorrecta de entradas por lo que es posible generar un paquete SMB2.0 especialmente para que este driver produzca un fallo general del sistema.

SOLUCIÓN: Al momento de escribir esta alerta no existe patch oficial del vendedor. Se recomiendan las posibles medidas como paliativos:

1. Tener la precaución de filtrar el puerto 445 tanto de TCP como de UDP a nivel perimetral en las organizaciones así como también activar el firewall personal (ya sea el propio de Windows o de un tercero) y filtrar el mencionado puerto a nivel de cada equipo.
2. Es posible deshabilitar SMB2.0, obviamente perdiendo las nuevas funcionalidades provistas por el mismo. Más información sobre esta opción se puede encontrar aquí (Askperf) y aquí (Daniel Petri)
   

VALORACIÓN DEL IMPACTO:        ALTO                                                   

REFERENCIAS:

Microsoft KB: http://www.microsoft.com/technet/security/advisory/975497.mspx

SecurityFocus: http://www.securityfocus.com/bid/36299

ISC: http://isc.sans.org/diary.html?storyid=7093