Un experto en seguridad ha revelado un nuevo agujero sin parchear en Windows que podría ser explotado para secuestrar remotamente los PC vulnerables. Microsoft ha asegurado estar investigando el fallo.
“Microsoft está investigando las informaciones que se han hecho públicas sobre una posible vulnerabilidad en Windows SMB (Server Message)”, según Jerry Bryant, director de grupo en Microsoft Security Response Center (MSRC). “Una vez hayamos concluido la investigación, tomaremos las medidas apropiadas para ayudar a nuestros clientes a protegerse. Tales medidas podrían incluir el proporcionar un parche en nuestra actualización mensual de seguridad, emitir un parche de emergencia o aconsejar algún remedio para evitar el problema”, continúa Bryant.
El investigador que asegura haber descubierto la brecha de seguridad, quien se identifica únicamente como «Cupidon-3005», ha publicado el código de explotación de la vulnerabilidad, que se encuentra en el driver que procesa las peticiones al protocolo Server Message Book utilizado en Windows para la comunicación con la red.
Esta vulnerabilidad afecta a sistemas Windows que utilizan el protocolo de red BROWSER y están configurados como «Master Browser» en la red local.
Por ello, aunque todas las versiones de Windows son vulnerables, es más probable que se vean afectados servidores ejecutándose como Primary Domain Controller (PDC), ya que lo más común es que el PDC sea también el «Master Browser», aunque puede haber otros equipos que lo sean y por tanto ser vulnerables.
Los análisis realizados apuntan a que Windows Server 2003 es vulnerable a este fallo.
Según la compañía francesa de seguridad Vupen, que considera la vulnerabilidad como “crítica”, un exploit que tuviera éxito al explotarla podría causar un problema de denegación de servicio o, incluso, conseguir el control completo del sistema. Secunia también cree que la vulnerabilidad es aprovechable por los hackers para comprometer los PC de sus víctimas.
La explotación de esta vulnerabilidad puede provocar una denegación de servicio (caída del servidor) y, aunque la ejecución remota de código es posible, es muy complicada de conseguir. Se recomienda seguir la buena práctica de bloquear en el cortafuegos las conexiones desde fuera de la red a los puertos UDP y TCP 138, 139 y 445 de los equipos de la red interna.