08 septiembre 2009

Bienvenidos a la nueva era de WinNuke (Vista/7)

En la época de Windows 95 (que en paz descanse) nos lo pasamos genial en clase lanzando WinNukes a diestro y siniestro, para dejar K.O. (Pantallazo Azul De La Muerte o Blue Screen Of Dead o BSOD) el sistema operativo del vecino que luego gritaba "Profe, ¡se me ha puesto el salvapantallas o algo!".

Enviando cierta cadena por un puerto determinado, el 139 TCP, conseguiamos el bloqueo absoluto del entorno, y tocaba reiniciar.

La película parece que se vuelve a repetir, pero esta vez le toca el turno a Windows Vista y Windows 7.

El fallo se ha encontrado de nuevo en el protocolo SMB encargado de compartir ficheros e impresoras, pero esta vez afectando a una nueva versión 2 incluída dentro de dichos sistemas operativos. Más información en este enlace, y en este otro vereis su especificación.

Laurent Gaffié, descubridor de esta vulnerabilidad, ha publicado además un código en python el cual una vez ejecutado, provocará un pantallazo azul en ambos sistemas.


 Centraros en la importancia de la vulnerabilidad,
no en la imagen, que os conozco...

El código lo teneis en el mismo post, y únicamente tendreis que cambiar el valor de IP_ADDR en la siguiente linea:
host = "IP_ADDR", 445
Con la dirección IP del sistema con Windows Vista o 7, y que como no, tiene que tener activado dicho servicio de compartir ficheros e impresoras. Si en vez de dejar en el código la dirección IP, cambiais dicho string por argv[1], se ejecutará para la dirección IP que pongais como parámetro al ejecutarlo.
[+] WinNuke en la Wikipedia


ACTUALIZACIÓN 08-Septiembre-2009 13:25:
Aunque el autor lo niegue, desde 48bits nos informan de que SI PODRÍA SER POSIBLE LA EJECUCIÓN REMOTA DE CÓDIGO, y no lo dicen por decir, dan su correspondiente explicación técnica que es lo que vale.
Así que, a falta de parche, bueno es desactivar el compartir ficheros en Windows 7, Vista y 2008.

18 comments :

Marcos Orallo dijo...

Supongo que lo parchearán pronto, cosa que no era posible en tiempos de Win95, pero puede hacer divertida la mañana en la oficina :-P

Ruso dijo...

Dios que triste

chencho dijo...

Por dios, que esto no llegue a meneame/barrapunto o cualquier otro nido de lammers enredas que si no va a ser un rollo esto :D

Alvaro dijo...

¿Y Chema Alonso que piensa de esto?

Alguno dijo...

@Alvaro

Pues Chema Alonso pensará que es una vulnerabilidad muy simple de explotar con cualquiera con pocos conocimientos, y que seguramente estén trabajando en subsanarla.

Chema no diseña el sistema, no es el responsable de las vulnerabilidades ni las depura.

Que sea MVP, no quiere decir que le podamos pegar por estas cosas!;)

Un saludo.

Alvaro dijo...

@Alguno

Estoy de acuerdo contigo, pero lo que quería decir, es ¿como justificará Chema esta vunerabilidad? Por eso de que siempre defiende tanto a los windows... Tengo curiosidad por saber su opinión, vaya.

Raul S. dijo...

¿quién tiene habilitado SMB? en una instalación por defecto no lo está!

Anónimo dijo...

#Raul S
pero en algunas empresas, pequeñas o medianas, pcs en red con impresoras esclavas, carpetas comunes, etc...si

David dijo...

Yo lo acabo de probar con un ubuntu y un windows 7 bastante actualizados y en unos segundos y con sólo una carpeta compartida lo he tumbado.

Esto es realmente grave...

Anónimo dijo...

Tumba los W2008 también.

José A. Guasch dijo...

http://www.microsoft.com/technet/security/advisory/975497.mspx

Respuesta oficial por parte de Microsoft, confirmando la posible ejecución de código remota.

Curioso, que pongan Windows 7 como "Non Affected Software", supongo que será algo relacionado con la ejecución de código, si no, no me lo explico.

Jandro dijo...

pues yo que quereis que os diga, estoy probandolo con un Win7 RTM y no hay forma de tumbarlo (incluso dejandole sin firewalls ni na)

Francisco Sáa Muñoz dijo...
Este comentario ha sido eliminado por el autor.
Julio Jaime dijo...

Microsoft no sacara parche para Windows 2000 por considerar que esto afectaría las aplicaciones existentes.

Windows 2000 tiene un año mas de soporte oficial de Microsoft (o tenia )

David Caballero dijo...

Hemos hecho pruebas y hemos podido tumbar también 2008 SP2. No hemos podido tumbar la RTM de Windows 7 y la R2 de Windows Server 2008. Esos sistemas operativos tienen un driver con una versión mayor (6.1 frente a 6.0 de Vista y 7 RC), y seguramente vendrá con la vulnerabilidad parcheada.

José A. Guasch dijo...

@David Caballero,

Versión del driver en un Windows 7 Release 7000, y también BSOD probado hace ayer mismo:

6.1.7000.0 (winmain_win7beta.081212-1400)

David Caballero dijo...

@ Jose A. Guasch

Vale, vale, hay que hilar más fino.
windows 7 RTM, versión de srv2.sys 6.1.7600.16385

Pero vamos, que nosotros hayamos hecho unas pruebas y no hayamos tirado esos sistemas no significa nada. Habrá que acudir a Microsoft (que dice que no son vulnerables) y al desensamblado del driver (...)
De todas formas, bastante grave es que vista y 2008 sí estén afectados.

maniattico dijo...

Pues confirmo que en Windows 7 RC 7100 CON y SIN firewall lo tumba en 1 segundo.