Abril de 2003

© Andrés Méndez de G2 Security
http://www.g2security.com

Aparecen los primeros casos de ataques por la nueva vulnerabilidad de Microsoft

Esta semana ha sido publicado un aviso de seguridad que advierte de un nuevo fallo de seguridad que afecta a los servidores web IIS versión 5.0 de Microsoft, a pesar de la existencia de un parche numerosas webs siguen sin protección y están siendo atacadas.

El ataque se basa en un desbordamiento de buffer, por el que un atacante envía información excesiva que el servidor no espera, lo cual permite al atacante ejecutar comandos en el servidor.

La vulnerabilidad se presenta en el servidor web Internet Information Services 5.0 sobre plataformas Windows 2000. El extenso uso de este software en servidores hace que este problema afecte a una gran cantidad de empresas e instituciones.

Actualmente existe en el círculo underground un exploit que permite a los hackers explotar esta vulnerabilidad.

La firma de seguridad informática G2 Security ha reportado un aumento en los ataques contra este tipo de plataformas, lo que denota la amplia y rápida difusión del método de ataque entre los hackers, por lo que recomienda que se aplique la solución propuesta por Microsoft para evitar serias intrusiones:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/
MS03-007.asp

La aparición de esta vulnerabilidad en el momento prebélico que se está viviendo ante la tensa relación internacional con Irak hace prever que hackers partidarios del régimen irakí lo utilicen para atacar webs norteamericanas.

Entre las webs que ya han sido atacadas utilizando esta vulnerabilidad, se encuentra la del Ejército de los EE.UU., aunque de momento se desconoce a los autores del ataque, se llevó a cabo con un alto conocimiento técnico hace aproximadamente una semana.

Una vez restablecido el sistema, los hackers volvieron a acceder al sistema, lo que hace evidente el poco temor que les impone el endurecimiento de las penas por delitos informáticos en aquel país.

Afortunadamente, según Russ Cooper, de la firma estadounidense de seguridad TruSecure, el servidor no se encontraba conectado a ningún sistema crítico.

Muchas empresas confían su seguridad únicamente a un firewall, pero este tipo de ataques pasa a través de estos sistemas de protección sin ser detectados. Por este motivo, G2 Security aconseja el empleo de Sistemas de Detección de Intrusos (IDS) en combinación con los firewalls para localizar y detener estos ataques.