Grave vulnerabilidad en PCAnywhere (corregida cinco meses después)
Se ha publicado una vulnerabilidad en PCAnywhere que permite ejecutar
código en el sistema donde esté corriendo la aplicación. Esto es
especialmente grave puesto que la aplicación, por diseño, está pensada
para ser accesible en remoto.
PCAnywhere es una popular aplicación comercial de control remoto creada
por la empresa Symantec que permite a los usuarios administrar un
ordenador a distancia. Esto es especialmente útil para situaciones donde
el acceso físico no sea posible, para tareas de soporte en remoto, etc.,
por lo que suele estar accesible en redes abiertas. En el servidor, el
proceso escucha por defecto en el puerto TCP 5631.
En el servidor, los procesos de conexión los maneja el componente
awhost32. En este proceso existe un fallo a la hora de validar o filtrar
los datos de acceso introducidos por el usuario, lo que permite un
desbordamiento de memoria intermedia. Si se envían peticiones
especialmente manipuladas, se podría ejecutar código arbitrario
en el equipo con privilegios de SYSTEM (los máximos en Windows).
Symantec conocía el problema desde agosto de 2011, aunque a pesar de su
gravedad se ha hecho público ahora. Fue reportado de forma privada a
través de ZDI, y ahora han coordinado una solución. Aunque en teoría el
gravísimo problema fuese conocido solo por el descubridor, ZDI (que
“compró” la vulnerabilidad al descubridor) y por Symantec, esto siempre
conlleva riesgos. Durante cinco meses, se puede desde filtrar la
información hasta ser descubierta por cualquier otro investigador de
forma independiente, y quizás con otras intenciones.
El fallo recuerda al que sufrió VNC en mayo de 2006. No se trataba
entonces de un problema de desbordamiento de memoria intermedia, pero
permitía eludir la autenticación en el servidor. Aun hoy se pueden
encontrar muchos servidores con versiones no corregidas de este
programa.
Los administradores de PCAnywhere que no hayan modificado el puerto por
defecto, restringido el rango de direcciones que pueden conectarse,
protegido el proceso con DEP, ASLR, o tomado otras consideraciones de
seguridad básicas, tienen un grave problema hasta que actualicen. El
fallo ya ha sido corregido y se recomienda actualizar a la última
versión disponible lo antes posible.
Fuente
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.