Publican una grave vulnerabilidad que afecta a entornos con Directorio Activo

Un tal Cupidon-3005 ha publicado un exploit que permite ejecutar código
en servidores Windows 2003 desde un equipo en la misma red interna. No
existe parche disponible. Como anécdota, el tal Cupidon-3005 (que en
realidad, aunque no se ha pronunciado oficialmente, es un nuevo
seudónimo de Laurent Gaffié para la ocasión) parece arremeter contra
otros investigadores de seguridad en los comentarios del exploit.

El fallo se debe a un error al comprobar el tamaño de un búfer asignado
a la cadena “Server Name” que podría provocar un desbordamiento de
memoria intermedia basada en heap en el fichero mrxsmb.sys. Para llevar
a cabo el ataque, se debe enviar un paquete de petición Browser Election
al servidor SMB (de compartición de ficheros e impresoras) vulnerable.
El exploit lo envía concretamente al puerto 138 sin necesidad de
autenticación en un entorno de directorio activo.

Por ahora el exploit permite provocar una denegación de servicio, pero
parece ser posible modificarlo para conseguir ejecución de código.
Microsoft no ha publicado “advisory” oficial y por supuesto, no existe
parche oficial disponible.

El autor, que se esconde bajo el seudónimo Cupidon-3005 (porque el
exploit apareció el 14 de febrero), hace referencia en los comentarios
del exploit a Winny Thomas, h07 y al propio Laurent Gaffié, que no es
más que él mismo. Gaffié descubrió en septiembre de 2009 un método para
provocar un pantallazo azul en Windows a través de SMB. Rubén Santamarta supo aprovecharlo para conseguir la ejecución de código.

Como anécdota, parece arremeter contra otros investigadores de seguridad
en los comentarios de exploit.

* Contra Immunity: “So your 31337 con is the only place to get 0day?
Here’s some pre-auth / broadcast 0day free for all on FD with 0%
conference whoring, and punks are welcome as well.”

Immunity comercializa CANVAS, una plataforma de exploits. En un mensaje enviado a una lista de seguridad recientemente, invitaba a todos a
participar en una conferencia en la que revelarían un ZERO DAY en SMB.

* Contra Rubén Santamarta: “Special Valentines Greetings: Ruben
Santamarta, is your password still “hijodeputa”? You look even more like
a dumb fuck than you used to.”

En referencia a la revelación de la base de datos de rootkit.com, en la
que aparecía su usuario con esa contraseña. Nos consta que Rubén ha
aclarado el asunto con el implicado, que ha acabado disculpándose y
arrepintiéndose por email.

* “Feel free to reuse this code without restrictions and ask
Kingcope-Fag to perform his FTP FU on SMB, he might have more luck than
MS.”

Kingcope es un conocido investigador de vulnerabilidades. Su último
descubrimiento fue un grave problema en el servidor FTP de IIS de
Microsoft.

Finalmente se “despide” con “Happy St-Valentine Bitches, MSFT found that
one loooooooong time ago….”. Gaffié también está muy relacionado con
MSRC (Microsoft Security Response Center ).
http://www.hispasec.com/unaaldia/4497/ Fuente

Más información:

MS Windows Server 2003 AD Pre-Auth BROWSER ELECTION Remote Heap Overflow
http://archives.neohapsis.com/archives/fulldisclosure/2011-02/0284.html