En la época de Windows 95 (que en paz descanse) nos lo pasamos genial en clase lanzando WinNukes a diestro y siniestro, para dejar K.O. (Pantallazo Azul De La Muerte o Blue Screen Of Dead o BSOD) el sistema operativo del vecino que luego gritaba "Profe, ¡se me ha puesto el salvapantallas o algo!".
Enviando cierta cadena por un puerto determinado, el 139 TCP, conseguiamos el bloqueo absoluto del entorno, y tocaba reiniciar.
Enviando cierta cadena por un puerto determinado, el 139 TCP, conseguiamos el bloqueo absoluto del entorno, y tocaba reiniciar.
La película parece que se vuelve a repetir, pero esta vez le toca el turno a Windows Vista y Windows 7.
El fallo se ha encontrado de nuevo en el protocolo SMB encargado de compartir ficheros e impresoras, pero esta vez afectando a una nueva versión 2 incluída dentro de dichos sistemas operativos. Más información en este enlace, y en este otro vereis su especificación.
Laurent Gaffié, descubridor de esta vulnerabilidad, ha publicado además un código en python el cual una vez ejecutado, provocará un pantallazo azul en ambos sistemas.
Centraros en la importancia de la vulnerabilidad,
no en la imagen, que os conozco...
El código lo teneis en el mismo post, y únicamente tendreis que cambiar el valor de IP_ADDR en la siguiente linea:
host = "IP_ADDR", 445
Con la dirección IP del sistema con Windows Vista o 7, y que como no, tiene que tener activado dicho servicio de compartir ficheros e impresoras. Si en vez de dejar en el código la dirección IP, cambiais dicho string por argv[1], se ejecutará para la dirección IP que pongais como parámetro al ejecutarlo.
[+] WinNuke en la Wikipedia
ACTUALIZACIÓN 08-Septiembre-2009 13:25:
Aunque el autor lo niegue, desde 48bits nos informan de que SI PODRÍA SER POSIBLE LA EJECUCIÓN REMOTA DE CÓDIGO, y no lo dicen por decir, dan su correspondiente explicación técnica que es lo que vale.
Así que, a falta de parche, bueno es desactivar el compartir ficheros en Windows 7, Vista y 2008.
ACTUALIZACIÓN 08-Septiembre-2009 13:25:
Aunque el autor lo niegue, desde 48bits nos informan de que SI PODRÍA SER POSIBLE LA EJECUCIÓN REMOTA DE CÓDIGO, y no lo dicen por decir, dan su correspondiente explicación técnica que es lo que vale.
18 comments :
Supongo que lo parchearán pronto, cosa que no era posible en tiempos de Win95, pero puede hacer divertida la mañana en la oficina :-P
Dios que triste
Por dios, que esto no llegue a meneame/barrapunto o cualquier otro nido de lammers enredas que si no va a ser un rollo esto :D
¿Y Chema Alonso que piensa de esto?
@Alvaro
Pues Chema Alonso pensará que es una vulnerabilidad muy simple de explotar con cualquiera con pocos conocimientos, y que seguramente estén trabajando en subsanarla.
Chema no diseña el sistema, no es el responsable de las vulnerabilidades ni las depura.
Que sea MVP, no quiere decir que le podamos pegar por estas cosas!;)
Un saludo.
@Alguno
Estoy de acuerdo contigo, pero lo que quería decir, es ¿como justificará Chema esta vunerabilidad? Por eso de que siempre defiende tanto a los windows... Tengo curiosidad por saber su opinión, vaya.
¿quién tiene habilitado SMB? en una instalación por defecto no lo está!
#Raul S
pero en algunas empresas, pequeñas o medianas, pcs en red con impresoras esclavas, carpetas comunes, etc...si
Yo lo acabo de probar con un ubuntu y un windows 7 bastante actualizados y en unos segundos y con sólo una carpeta compartida lo he tumbado.
Esto es realmente grave...
Tumba los W2008 también.
http://www.microsoft.com/technet/security/advisory/975497.mspx
Respuesta oficial por parte de Microsoft, confirmando la posible ejecución de código remota.
Curioso, que pongan Windows 7 como "Non Affected Software", supongo que será algo relacionado con la ejecución de código, si no, no me lo explico.
pues yo que quereis que os diga, estoy probandolo con un Win7 RTM y no hay forma de tumbarlo (incluso dejandole sin firewalls ni na)
Microsoft no sacara parche para Windows 2000 por considerar que esto afectaría las aplicaciones existentes.
Windows 2000 tiene un año mas de soporte oficial de Microsoft (o tenia )
Hemos hecho pruebas y hemos podido tumbar también 2008 SP2. No hemos podido tumbar la RTM de Windows 7 y la R2 de Windows Server 2008. Esos sistemas operativos tienen un driver con una versión mayor (6.1 frente a 6.0 de Vista y 7 RC), y seguramente vendrá con la vulnerabilidad parcheada.
@David Caballero,
Versión del driver en un Windows 7 Release 7000, y también BSOD probado hace ayer mismo:
6.1.7000.0 (winmain_win7beta.081212-1400)
@ Jose A. Guasch
Vale, vale, hay que hilar más fino.
windows 7 RTM, versión de srv2.sys 6.1.7600.16385
Pero vamos, que nosotros hayamos hecho unas pruebas y no hayamos tirado esos sistemas no significa nada. Habrá que acudir a Microsoft (que dice que no son vulnerables) y al desensamblado del driver (...)
De todas formas, bastante grave es que vista y 2008 sí estén afectados.
Pues confirmo que en Windows 7 RC 7100 CON y SIN firewall lo tumba en 1 segundo.
Publicar un comentario