Cómo Protegerse Contra Vulnerabilidades de Servicios de Windows

Cómo Protegerse Contra Vulnerabilidades de Servicios de Windows
• Mantenga los sistemas actualizados con los últimos parches y service packs.
Si es posible active Actualizaciones Automáticas en todos los sistemas.
• Utilice Sistemas de Prevención/Detección de Intrusos para prevenir y
detectar ataques que explotan estas vulnerabilidades.
• Determine si la vulnerabilidad existe en un componente no esencial que
pueda ser removido. Por ejemplo, si su entorno no requiere el servicio de
colas de mensajes (CVE-2005-0059), éste puede ser removido utilizando la
interfaz panel de control -> agregar o quitar programas ->
componentes de Windows. Por favor sea precavido al tomar esta decisión
ya que puede perder funcionalidad si existe otro programa dependiente de
este servicio.
• En algunos casos, la exposición a la vulnerabilidad puede ser removida al
desactivar el servicio correspondiente. Por ejemplo, el servicio License
Logging (CVE-2005-0050) puede ser desactivado en muchos entornos.
Digite services.msc en el menú inicio -> ejecutar para invocar la interfaz
Administrador de Servicios. Localice el servicio requerido y haga clic derecho
luego de seleccionarlo. Invoque la opción de propiedades en el menú
contextual. El “Tipo de inicio” del servicio puede ser modificado para
desactivarlo.
• En algunos casos, se podría remover el acceso con sesiones nulas a la
interfaz vulnerable como solución del problema. Por ejemplo, la
vulnerabilidad de spools (CVE-2005-1984) puede mitigarse en Windows
2000 al remover SPOOLSS del valor del registro
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer
\Parameters\NullSessionPipes. Es una buena práctica revisar la
configuración actual de RestrictAnonymous y mantenerla tan rigurosa como
sea posible, dependiendo de su entorno.
http://www.securityfocus.com/infocus/1352
• Muchas de estas vulnerabilidades (CVE-2005-1984, CVE-2005-1983, CVE-
2005-1206, CVE-2005-0045 etc.) se encuentran en interfaces que se
ofrecen mediante CIFS, y bloquear los puertos 139 y 445 en el perímetro es
esencial para prevenir escenarios de ataques remotos. También es una
buena práctica bloquear peticiones de RPC desde Internet hacia los puertos
superiores al 1024 para bloquear ataques a otras vulnerabilidades basadas
en RPC utilizando firewalls. (Ej.: Message Queue CVE-2005-0059).
• XP SP2 y Windows 2003 SP1 vienen con diversas mejoras de seguridad,
incluyendo el Windows Firewall. Es altamente recomendable actualizarse a
estos service packs y activar el Windows Firewall.
W1.6 Referencias
http://www.microsoft.com/windowsxp/using/security/internet/sp2_wfintro.mspx
http://www.microsoft.com/windows2000/en/advanced/help/sag_TCPIP_ovr_secfeat
ures.htm
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/TechRe
f/4dbc4c95-935b-4617-b4f8-20fc947c7288.mspx
a) Ejecución de Código Remoto en Servicios MSDTC y COM+
http://www.microsoft.com/technet/Security/bulletin/ms05-051.mspx
http://www.sans.org/newsletters/risk/display.php?v=4&i=41#widely2
b) Ejecución de Código Remoto en el Servicio Print Spooler
http://www.microsoft.com/technet/Security/bulletin/ms05-043.mspx
http://www.sans.org/newsletters/risk/display.php?v=4&i=32#widely3
c) Ejecución de Código Remoto en el Servicio Plug and Play
http://www.microsoft.com/technet/Security/bulletin/ms05-047.mspx
http://www.microsoft.com/technet/Security/bulletin/ms05-039.mspx
http://www.microsoft.com/security/incident/zotob.mspx
http://www.sans.org/newsletters/risk/display.php?v=4&i=41#widely2
http://www.sans.org/newsletters/risk/display.php?v=4&i=43#exploit1
http://www.sans.org/newsletters/risk/display.php?v=4&i=32#widely1
http://www.sans.org/newsletters/newsbites/newsbites.php?vol=7&issue=47#305
d) Ejecución de Código Remoto en el Servicio Server Message Block
http://www.microsoft.com/technet/security/bulletin/ms05-027.mspx
http://www.microsoft.com/technet/security/bulletin/ms05-011.mspx
http://www.qualys.com/research/alerts/view.php/2005-06-14
http://www.sans.org/newsletters/risk/display.php?v=4&i=24#widely3
http://www.sans.org/newsletters/risk/display.php?v=4&i=6#widely6
e) Ejecución de Código Remoto en el Servicio Exchange SMTP
http://www.microsoft.com/technet/security/Bulletin/MS05-021.mspx
http://www.sans.org/newsletters/risk/display.php?v=4&i=15#widely1
http://www.sans.org/newsletters/risk/display.php?v=4&i=16#exploit1
f) Ejecución de Código Remoto en el Servicio Message Queuing
http://www.microsoft.com/technet/security/bulletin/ms05-017.mspx
http://www.sans.org/newsletters/risk/display.php?v=4&i=15#widely2
http://www.sans.org/newsletters/risk/display.php?v=4&i=19#exploit2
http://www.sans.org/newsletters/risk/display.php?v=4&i=26#exploit2
g) Ejecución de Código Remoto en el Servicio License Logging
http://www.microsoft.com/technet/security/bulletin/ms05-010.mspx
http://www.sans.org/newsletters/risk/display.php?v=4&i=6#widely1
http://www.sans.org/newsletters/risk/display.php?v=4&i=11#exploit1
h) Ejecución de Código Remoto en el Servicio WINS
http://www.microsoft.com/technet/security/bulletin/MS04-045.mspx
http://www.sans.org/newsletters/risk/display.php?v=3&i=48#widely1
http://www.sans.org/newsletters/risk/display.php?v=3&i=50#widely1
http://www.sans.org/newsletters/risk/display.php?v=4&i=1#exploit1
http://www.sans.org/newsletters/risk/display.php?v=4&i=2#exploit2
i) Ejecución de Código Remoto en el Servicio NNTP
http://www.microsoft.com/technet/security/bulletin/MS04-036.mspx
http://www.sans.org/newsletters/risk/display.php?v=3&i=41#widely2
j) Ejecución de Código Remoto en el Servicio NetDDE
http://www.microsoft.com/technet/security/bulletin/MS04-031.mspx
http://www.sans.org/newsletters/risk/display.php?v=3&i=41#widely4
k) Ejecución de Código Remoto en el Programador de Tareas
http://www.microsoft.com/technet/security/bulletin/ms04-022.asp
http://www.sans.org/newsletters/risk/display.php?v=3&i=28#widely1