viernes, abril 13, 2007

Una Seria

No es que normalemente haga esto, porque supongo que ya tenéis mil y un sitios donde os enteráis de este tipo de asuntos, (como hago yo con el amigo pajarraco de los santos que me informa a diario), pero este va a ser de los buenos, así que por favor, si tenéis a alguien con un DNS en un Windows Server 2000 o 2003, y, especialmente aquellos que no tienen política de parches automática avisadles, porque esta es seria.

Además, copa en mano en Zaragoza por la noche con el movil recibiendo el correo me pregunte sobre el sentido de ser tan friki. ¿Como puedes leer el correo mientras estas de copas y preocuparte por un advisory? Lo peor es que entré desde el móvil a ver el post del msrc. En fin, hay que joderse que mala vida llevamos.

Es un fallo que podría permitir remotamente ejecutar código arbitrario con los privilegios de Sytem. Es decir, el equivalente a esto es "Te van a $"·$X&$% la máquina".

Hay un workaround, para mitigarlo, así que si podéis aplicarlo, better then better.

Os dejo el link del advisory y del equipo de seguridad de MS:

Vulnerability in RPC on Windows DNS Server Could Allow Remote Code Execution.

Microsoft Security Advisory 935964 Posted

Saludos y buen finde que además este finde tiene GP2, F1, SBK, 125, 250 y MotoGP.

7 comentarios:

  1. Por lo poco que he leido afecta al RPC y lo normal es tener esos puertos cerrados en el firewall externo por lo que nuestro servidor DNS estaría protegido.

    ResponderEliminar
  2. Mierda! No hay 0-day!
    Con lo que ami me gustan mmmm...

    Por cierto tienes un emilio mío

    Saludos !

    ResponderEliminar
  3. Busca las 7 diferencias:

    los post del maligno sobre cagadas en el SL terminan con una pregunta retorcida y maligna, valga la redundancia.

    los post del maligno sobre cagadas de Spectra terminan con un avance deportivo del finde

    A ver si me salen las otras seis...

    Saludos tronco.

    ResponderEliminar
  4. es posible tocar el registro para
    deshabilitar la capacidad de manejo remoto sobre RPC, en el registro, en la rama:
    "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters"
    se debe añadir un valor DWORD llamado "RpcProtocol" con el valor 4.

    ademas si los FW tienen una politica de habro lo que necesito deberia bastar hasta la proxima enterga de sec

    ResponderEliminar
  5. Y si somos unos insiders un poco cabroncetes? :P Saludos!

    ResponderEliminar
  6. Estoy ya con las pruebas de los cambios del registro y espero dejar esta noche protegidas mis redes, como ha dicho alguno mi miedo son los "insiders" o cualquier bicho del color que sea.

    http://geeks.ms/blogs/dmatey/archive/2007/04/14/como-arreglar-lo-del-dns-antes-de-que-empiece-el-fin-de-semana.aspx

    ResponderEliminar
  7. Bueno, no es público, pero sí que se está explotando, y conozco a más de uno que esta ahora mismo errepeceando los deneeses a saco.

    Benigno!! Qué esto es el lado del mal!! que quieres?

    ;)

    Salu2

    ResponderEliminar