Sistemas Afectados

1. Índice de Explotación

   • CVE-2008-4834 - Poco probable la existencia de exploit funcional
   • CVE-2008-4835 - Poco probable la existencia de exploit funcional
   • CVE-2008-4114 - Poco probable la existencia de exploit funcional

2. Descripción

   • Vulnerabilidad de desbordamiento de memoria en SMB - CVE-2008-4834

   Existe una vulnerabilidad de ejecución remota de código que no requiere autenticación, debido a la manera que el software del protocolo Microsoft Server Message Block (SMB) maneja ciertos paquetes SMB que han sido manipulados. Para explotar la vulnerabilidad no se requiere autenticación, permitiendo al atacante explotar la vulnerabilidad mediante el envío de un mensaje de red malicioso a una computadora que utilice el servicio Server. Un atacante que explote exitosamente la vulnerabilidad podría tomar control total del sistema afectado. La mayoría de los ataques que explotan esta vulnerabilidad podrían terminar en una negación de servicio, de cualquier manera existe la posibilidad de ejecutar código remoto.

   • Vulnerabilidad de ejecución remota de código en validación SMB - CVE-2008-4835/li>

     Existe una vulnerabilidad de ejecución remota de código que no requiere autenticación, debido a la manera que el software del protocolo Microsoft Server Message Block (SMB) maneja ciertos paquetes SMB que han sido manipulados. Para explotar la vulnerabilidad no se requiere autenticación, permitiendo al atacante explotar la vulnerabilidad mediante el envío de un mensaje de red malicioso a una computadora que utilice el servicio Server. Un atacante que explote exitosamente la vulnerabilidad podría tomar control total del sistema afectado. La mayoría de los ataques que explotan esta vulnerabilidad podrían terminar en una negación de servicio, de cualquier manera existe la posibilidad de ejecutar código remoto.

   • Vulnerabilidad de negación de servicio en validación - CVE-2008-4114

   Existe una vulnerabilidad de negación de servicio debido a la manera en que el software del protocolo Microsoft Server Message Block (SMB) maneja ciertos paquetes SMB que han sido manipulados. Para explotar la vulnerabilidad no se requiere autenticación, permitiendo al atacante explotar la vulnerabilidad mediante el envío de un mensaje de red malicioso a una computadora que utilice el servicio Server. Un atacante que explote exitosamente la vulnerabilidad podría ocasionar que el equipo deje de responder y reinicie.

3. Impacto

   Un atacante remoto no autenticado podría ejecutar código arbitrario y tomar control total del sistema afectado.

4. Solución

   Aplique una actualización de seguridad de Microsoft Corp.

   • Windows 2000 Service Pack 4
   • Windows XP Service Pack 2 y Windows XP Service Pack 3
   • Windows XP Professional x64 Edition y Windows XP Professional x64 Edition Service Pack 2
   • Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2
   • Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition Service Pack 2
   • Windows Server 2003 con SP1 para sistemas basados en Itanium y Windows Server 2003 con SP2 para sistemas basados en Itanium
   • Windows Vista y Windows Vista Service Pack 1
   • Windows Vista x64 Edition y Windows Vista x64 Edition Service Pack 1
   • Windows Server 2008 para sistemas de 32-bits *
   • Windows Server 2008 para sistemas x64 *
   • Windows Server 2008 para sistemas basados en Itanium

   * Windows Server 2008 instalado en modo Server Core también es afectado por la vulnerabilidad.

5. Referencias

   • Boletín Original de Microsoft
   • Boletín de Seguridad de Microsoft MS09-001 - http://www.microsoft.com/technet/security/Bulletin/ms09-001.mspx

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• Manuel Ignacio Quintero Martínez (mquintero at seguridad dot unam dot mx)
• Oscar Raúl Ortega Pacheco (oortega at seguridad dot unam dot mx)