Shell remoto en Windows

Escrito el 1 Agosto, 2003 – 17:00 | por storm | 701 lecturas

Se ha detectado un nuevo bug en Microsoft Windows, que permite a un atacante
ejecutar codigo en un equipo remoto, y hasta abrir un shell con nivel administrador.

Remote Procedure Call (RPC) es un protocolo empleado por los sistemas operativos
Windows para proporcionar mecanismos de comunicación entre procesos de forma que
un programa que se ejecute en un sistema pueda ejecutar código en un sistema remoto
de forma transparente. La implementación de Microsoft de este protocolo está derivada
del protocolo RPC de la OSF (Open Software Foundation) pero con la inclusión de
algunas extensiones específicas de Microsoft. Y claro, ellos nunca modifican o
perfeccionan algo, sin romperlo ;).

El protocolo RPC se utiliza para que un programa pueda ejecutar código
en un ordenador remoto. (sirve por ejemplo para compartir las impresoras de una red,etc)

Este protocolo usa el port 135/tcp, y a diferencia de los unixes, en windows no puede
ser deshabilitado facilmente, por lo tanto lo mejor es aplicar los patch’s que ya lanzo
Microsoft o bloquear via un firewall el trafico a este port.

Y como si esto fuera poco, ya existen scanners de esta vulnerabilidad, que estan todo
el dia buscando maquinas vulnerables y atacandolas.

El exploit que salio para explotar este problena permite atacar las siguientes versiones
de Windows: Windows 2000 SP0, Windows 2000 SP1, Windows 2000 SP2, Windows 2000 SP3, Windows 2000 SP4, Windows XP SP0, Windows XP SP1.

Dependiendo de la version del OS atacado, puede desde simplemente resetear el equipo, a llegar a dar un
shell remoto, abriendo un command.com al atacante, con nivel administrador.

Más información:
Hispasec: http://www.hispasec.com/unaaldia/1728
The Last Stage of Delirium: http://lsd-pl.net/special.html

You must be logged in to post a comment.

Buscar: