Total Security - totalsecurity.com.br
Nova maneira de explorar o Workstation Service
Especialistas em segurança descobriram uma nova maneira de explorar uma vulnerabilidade crítica já conhecida no Windows, o buffer overflow no Windows Workstation Service.Esta falha permite um ataque simultâneo a diversas maquinas ao mesmo tempo. Os especialistas também alertam que o novo ataque pode também conduzir a criação de novos worms de Windows de alta velocidade de propagação.
O Windows Workstation Service, serviço que é ativado por padrão no Windows 2000 e XP, apresenta este buffer overflow que permite a um atacante, que explorar com sucesso a falha, executar qualquer código na maquina vulnerável.
A Microsoft liberou um patch para esta vulnerabilidade em Novembro, mas o boletim de segurança listou diversas soluções alternativas para a falha, inclusive desabilitar o Workstation Service e usar um firewall para bloquear algumas portas UDP e TCP específicas. Mas alguns testes da Core Security Technologies, uma companhia de segurança de Boston, descobriram um novo meio de ataque utilizando uma porta UDP diferente. Este ataque ainda permite que os pacotes com códigos maliciosos alcancem os Workstation Services vulneráveis.
O ataque aproveita diversas características do protocolo UDP. Ao contrário do TCP, UDP é um protocolo sem conexão, ou seja não existe a necessidade de estabelescer uma conexão com a maquina remota para enviar um pacote UDP. Da mesma forma, já que os serviços DNS usam este protocolo, pacotes UDP normalmente não tem problemas em passsar por firewalls.
Estes fatores combinados tornam possível para um atacante enviar um broadcast de pacotes UDP contendo o código malicioso para várias maquinas em uma rede. O tráfego pode ser disfarçado para parecer com pacotes DNS, obscurecendo mais o ataque.
Se alguém ainda não aplicou o patch mas bloqueou as portas recomendadas, ainda está vulnerável, disse Max Caceres, gerente de produtos da Core Impact.
O patch para a vulnerabilidade do Workstation Service também protege contra este ataque mais recente, segundo Caceres. A Core Security notificou a Microsoft suas descobertas no início desta semana.
O Windows Workstation Service, serviço que é ativado por padrão no Windows 2000 e XP, apresenta este buffer overflow que permite a um atacante, que explorar com sucesso a falha, executar qualquer código na maquina vulnerável.
A Microsoft liberou um patch para esta vulnerabilidade em Novembro, mas o boletim de segurança listou diversas soluções alternativas para a falha, inclusive desabilitar o Workstation Service e usar um firewall para bloquear algumas portas UDP e TCP específicas. Mas alguns testes da Core Security Technologies, uma companhia de segurança de Boston, descobriram um novo meio de ataque utilizando uma porta UDP diferente. Este ataque ainda permite que os pacotes com códigos maliciosos alcancem os Workstation Services vulneráveis.
O ataque aproveita diversas características do protocolo UDP. Ao contrário do TCP, UDP é um protocolo sem conexão, ou seja não existe a necessidade de estabelescer uma conexão com a maquina remota para enviar um pacote UDP. Da mesma forma, já que os serviços DNS usam este protocolo, pacotes UDP normalmente não tem problemas em passsar por firewalls.
Estes fatores combinados tornam possível para um atacante enviar um broadcast de pacotes UDP contendo o código malicioso para várias maquinas em uma rede. O tráfego pode ser disfarçado para parecer com pacotes DNS, obscurecendo mais o ataque.
Se alguém ainda não aplicou o patch mas bloqueou as portas recomendadas, ainda está vulnerável, disse Max Caceres, gerente de produtos da Core Impact.
O patch para a vulnerabilidade do Workstation Service também protege contra este ataque mais recente, segundo Caceres. A Core Security notificou a Microsoft suas descobertas no início desta semana.
URL Fonte: https://totalsecurity.com.br/noticia/226/visualizar/
Comentários