Vulnerabilidad en Windows Terminal Services y Remote Desktop
Microsoft ha publicado una aviso de seguridad para advertir de una
vulnerabilidad en Remote Desktop Protocol que se ha demostrado puede
ser explotada para causar un ataque por denegación de servicio (DoS).
El protocolo RDP, Remote Desktop Protocol, permite a los usuarios de
Windows conectarse de forma remota a los sistemas creando sesiones
virtuales de sus escritorios. El protocolo es utilizado tanto en la
implementación de Terminal Services en Windows 2000 y Windows 2003
como en Remote Desktop en Windows XP.
Según la investigación de Microsoft, el envÃo de peticiones RDP
especialmente malformadas puede provocar una denegación de servicios
y el reinicio del sistema, si bien concluyen que la vulnerabilidad
no puede ser utilizada para ejecutar código arbitrario de forma
remota y, por tanto, no puede comprometer el control del sistema.
La vulnerabilidad puede afectar, dependiendo de si posee o no activado
el servicio afectado, a los siguientes sistemas:
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003
Microsoft Windows Server 2003 for Itanium-based Systems
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 con SP1 for Itanium-based Systems
Microsoft Windows Server 2003 x64 Edition
Entre las acciones recomendadas para para prevenir el ataque
encontramos: bloquear el puerto TCP/3389 en el firewall, desactivar
Terminal Services o Remote Desktop si no son necesarios, o utilizar
IPsec o VPN para las conexiones a estos servicios.
Microsoft ha publicado este aviso de seguridad para informar a sus
usuarios del impacto de la vulnerabilidad y las medidas recomendadas
para mitigarlo, a la espera de publicar el correspondient
e parche
en el que ya están trabajando, ya que los detalles para explotar la
vulnerabilidad fueron desvelados en Internet.
De hecho estos últimos dÃas se ha podido comprobar un aumento de los
barridos en Internet buscando el puerto TCP/3389, puerto por defecto
del servicio afectado, lo que podrÃa corresponder a potenciales
atacantes buscando sistemas vulnerables.
En Hispasec hemos criticado alguna que otra vez la polÃtica de
Microsoft de publicar los parches un dÃa prefijado, concretamente el
segundo martes de cada mes, ya que según nuestra opinión los parches
deberÃan ser publicados cuando estén preparados y no retrasarlos de
forma artificial.
Si bien en esta ocasión tenemos que felicitar a Microsoft por avisos
como éste, donde adelanta a los usuarios información sobre
vulnerabilidad
es y medidas de mitigación aun sin disponer del parche.
Más Información:
Vulnerability in Remote Desktop Protocol (RDP) Could Lead to Denial of Service
Para ver este enlace Registrate o Inicia SesionFuente: hispasec.com
Salu2
Autor