| Artículos | 01 JUL 2001

Vulnerabilidad: Gusano sadmin/IIS

Tags: Histórico
Daniel Avila.
Un gusano es un programa que se replica a sí mismo a través de Internet buscando máquinas vulnerables a ciertos fallos de seguridad conocidos, e introduciéndose en ellas para después propagarse por tantos caminos como pueda.
Los virus tienen como principal diferencia con un gusano que se propagan a través de ficheros ejecutables por cualquier medio, ya sean disquetes, CD-ROM, etc. y un gusano necesita usar una conexión a Internet para propagarse. Recientemente han aparecido virus como “I love you”, con capacidades para autopropagarse por la red, que están en el límite entre un gusano y un virus.
El gusano que analizamos ataca simultáneamente tanto a servidores Microsoft con el servicio IIS 4 y 5 (Internet Information Server) como a servidores Sun Solaris hasta la versión 7. El gusano se replica en máquinas Solaris debido a un fallo de explotación remota en el administrador de sistema sadmin, para después buscar ordenadores con el IIS, susceptibles a un ataque remoto mediante una URL inválida con caracteres UNICODE (ver sección de seguridad de PC World número 172). El payload del gusano consiste simplemente en cambiar la página web inicial de los lugares a los que accede, por lo que no es destructivo pero podría llegar a serlo si es modificado.
En el IIS los privilegios que obtiene el gusano son los de la cuenta del sistema IUSR_nombre, y es especialmente peligroso, ya que tiene acceso al disco duro donde se almacena la web, por lo que recomendamos que nunca usen la unidad “C:” para el directorio inetpub con el fin de evitar posibles fallos. En Solaris los privilegios que obtiene son de usuario “root”, haciendo vulnerable a la totalidad del sistema al atacante.
Lo más irónico de este gusano es que los agujeros de seguridad que usa son bastante antiguos y, sin embargo, es capaz de reproducirse fácilmente debido a la dejadez de muchos administradores de sistemas, que no aplican los parches de seguridad necesarios periódicamente.

Solución
Existe un parche proporcionado por Microsoft para eliminar este fallo en el IIS 4 bajo Windows NT Server, y otro para el IIS 5 bajo Windows 2000 Server en la web www.microsoft.com/technet/security/bulletin/MS00-078.asp. Además, hay un boletín de seguridad en el que puede encontrar trucos y recomendaciones interesantes para proteger un servidor IIS (www. microsoft.com/technet/security/iis5chk.asp).
El parche para el sistema operativo Sun Solaris se puede descargar de la página de seguridad de Sun en sunsolve.sun.com/pub-cgi/retrieve .pl?doctype=coll&doc=secbull/191 &type=0&nav=sec.sba.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información