| Artículos | 01 MAR 2005

Los 20 fallos de seguridad más peligrosos

Tags: Histórico
Jorge E. Rodríguez.
La mayoría de los virus, gusanos y demás ciberataques realizados con éxito son posibles gracias a la explotación de unas pocas vulnerabilidades que afectan siempre a un pequeño número de servicios o de componentes muy importantes de Windows, Linux y Unix.

En general, los atacantes suelen utilizar la filosofía del mínimo esfuerzo; siempre recorren los caminos más fáciles y adecuados para sus propósitos, explotando los defectos mejor conocidos y utilizando para sus malévolos propósitos las herramientas de ataque más eficaces y difundidas. Los piratas informáticos siempre se valen del hecho de que la mayoría de las empresas no tapan con diligencia los agujeros de seguridad de sus sistemas, de tal forma que siempre aprovechan vulnerabilidades descubiertas anteriormente y que todavía no han sido parcheadas. Su forma de ataque suele ser indiscriminada, exploran Internet de forma masiva en busca de los sistemas que sigan siendo vulnerables y les envían el exploit correspondiente para hacerse con su control o para infligirles el máximo daño posible.
En el año 2000, el Instituto SANS y el Centro Nacional de Protección de la Infraestructura (NIPC), departamento del FBI, emitieron un documento que resumía las diez vulnerabilidades de seguridad más críticas de Internet. Desde entonces, con una periodicidad anual estas instituciones vienen publicando conjuntamente la lista de las 20 vulnerabilidades o debilidades más utilizadas para atacar los sistemas conectados a Internet (Top-20). Se trata de las vulnerabilidades que han utilizado la mayoría de los gusanos más conocidos (por ejemplo, Blaster, Slammer, Code Red o Nimda) para llevar a cabo su infame tarea.
La lista del año 2004, publicada el mes de octubre, está en realidad dividida en dos listas: los diez servicios o elementos de Windows más atacados y los correspondientes diez servicios o componentes de UNIX/Linux. En el presente artículo analizaremos brevemente las debilidades correspondientes a Windows, dejando las de Linux, como ejercicio posterior para el lector, resumidos en el cuadro de la página 25.
Seguimos insistiendo en lo mismo: aunque en los últimos meses han hecho su aparición cientos, tal vez miles, de ataques a la seguridad de los equipos informáticos conectados a Internet, la mayoría han utilizado uno o varios de los servicios o componentes vulnerables que SANS ha compendiado y que nosotros analizaremos de forma resumida aquí.

1. Instalación predeterminada de los servidores HTTP (web) y de sus servicios asociados
La instalación por defecto, con la configuración predeterminada, de los servidores web incluidos en Windows puede provocar: ataques por denegación de servicio, riesgos para sus archivos o datos sensibles, la ejecución de comandos arbitrarios en el servidor por parte de un atacante o el compromiso total de su seguridad.
Entre los servidores web que han resultado vulnerables se encuentran IIS (Internet Information Server), Apache e iPlanet (en la actualidad conocido como SunOne). Todos ellos presentan numerosos agujeros de seguridad que se han ido sido parcheando a medida que se han detectado.
Compruebe que ha instalado todos los parches, que no está utilizando la configuración predeterminada de estos servidores (lo cual suele ser una fuente importante de problemas) y que tiene desactivadas las aplicaciones de ejemplo incluidas en algunos servidores (tal como IIS 5.0 y versiones anteriores). En general, sólo deberá utilizar aquellos servicios y funciones que sean imprescindibles para su trabajo.
Algunos de los gusanos que han utilizado esta vulnerabilidad son: Nimda, Code Red y Code Red 2.

2. Servicio Windows Workstation
Este servicio procesa las peticiones de los usuarios para acceder a determinados recursos, tales como archivos o impresoras. El servicio Windows Work-station determina si el recurso se encuentra en el sistema local o si se trata de un recurso compartido de red, y encamina la petición del usuario en la forma apropiada.
Por desgracia, este servicio puede sufrir un desbordamiento de búfer basado en la pila de Windows que podrá provocar determinadas llamadas especialmente preparadas. Este desbordamiento puede ser explotado por usuarios remotos no autenticados que podrán ejecutar el código que deseen en la máquina vulnerable con los privilegios de System, lo que permitirá un acceso ilimitado en el sistema atacado. Esta vulnerabilidad de desbordamiento de búfer se encuentra presente en el servicio Workstation de Windows 2000 (SP2, SP3 y SP4) y Windows XP (hasta SP1). Uno de los gusanos que utilizó con éxito esta vulnerabilidad fue el denominado Phatbot/Gaobot, que infectó a millones de ordenadores.
Una vez más, la mejor forma de evitar esta vulnerabilidad es instalar los parches correspondientes de Windows o instalar el SP 2 de XP si está utilizando este sistema operativo.

3. Configuración inapropiada de los recursos compartidos de red y de los protocolos de acceso remoto
No hay duda de que la existencia de protocolos de comunicaciones, que permiten a un usuario manipular archivos remotos como si estuvieran en su equipo local, es una función de Windows de gran potencia y utilidad. Sin embargo, una inadecuada configuración de los recursos compartidos de la red puede poner en peligro ciertos archivos críticos del sistema o proporcionar a los atacantes un mecanismo para obtener un control total del host. Algunas de las funciones potencialmente peligrosas son: Anonymous Logon (Inicio de sesión anónima), Remote registry access (Acceso remoto al registro) y Remote procedure calls (llamadas a los procedimientos remotos o RPC).
Una de las formas en las que los gusanos de la familia Klez y Nimda, o el virus Sircam se extendieron tan rápidamente, fue la utilización de un recurso compartido de red no protegido. Esta familia de vulnerabilidades afecta a todas las versiones del sistema operativo Windows, desde Windows 95 hasta Windows 2003. El Service Pack 2 (SP2) de Windows XP ha resuelto numerosos problemas asociados con las RPC. Una vez más, la mejor forma de protegerse frente a estos problemas es instalar la última versión disponible del Service Pack correspondiente y los últimos parches aparecidos para la versión del sistema operativo.

4. Vulnerabilidades asociadas a Microsoft SQL Server
Este sistema gestor de bases de datos desarrollado por Microsoft ha presentado desde su aparición diversas y graves vulnerabilidades que permitían a los atacantes remotos obtener información de importancia, modificar el contenido de las bases de datos, poner en peligro los servidores SQL y, en determinados casos, hacerse con el control del servidor. Todas estas vulnerabilidades son bien conocidas en el mundo hacker y han servido de base para recientes ataques masivos en Internet protagonizados por los gusanos SQLSnake, Spida y SQLSlammer. Por ejemplo, el ataque del gusano SQLSnake se basaba en que la cuenta del administrador de la base de datos tuviera definida una contraseña nula. Resulta de la máxima importancia asegurarse de que todas las cuentas, especialmente si se trata de las cuentas administrativas, están protegidas mediante contraseñas robustas. Por su parte, el gusano SQLSlammer basaba su ataque en un desbordamiento de búfer en el servicio SQL Server Resolution. En este caso, se podría haber evitado este ataque instalando el parche que anulaba esta vulnerabilidad.

5. Autenticación de Windows
Una de las causas más frecuentes de la falta de seguridad en los sistemas informáticos de las em

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información