INFORME DE VULNERABILIDADES

Escaneo de vulnerabilidades

Vulnerabilidad critica en en el equipo 10.3.9.174:

Después de escanear con nessus las posibles vulnerabilidades del equipo 10.3.9.174 se ha encontrado una vulnerabilidad critica en el protocolo SMB (protocolo para compartir archivos).

Resultado del escaneo:

La vulnerabilidad en SMB podría permitir la ejecución remota de código (896422) - Check Red
Sinopsis:
Código arbitrario puede ser ejecutado en la máquina remota debido a una falla en el
SMB aplicación.

Descripción:
El mando a distancia versión de Windows contiene una falla en el servidor de mensajes Block (SMB) de aplicación que podrían permitir a un atacante ejecutar arbitrarias código en la máquina remota.
Un atacante no necesita ser autenticado para explotar esta falla.
Descripción:
El host remoto es vulnerable a una saturación del búfer en el campo 'Servidor' servicio que podrían permitir a un atacante ejecutar código arbitrario en el host remoto con el 'sistema' privilegios.

Descripción:
El host remoto es vulnerable al desbordamiento de pila en el campo 'Servidor' que el servicio puede permitir a un atacante ejecutar código arbitrario en la máquina remota con
el 'sistema' privilegios.
Además de esto, la máquina remota es también vulnerable a una información la revelación de vulnerabilidad en SMB que podría permitir a un atacante obtener
porciones de la memoria de la máquina remota.

Solución:
Microsoft ha publicado un conjunto de parches para Windows 2000, XP y 2003:
http://www.microsoft.com/technet/security/bulletin/ms05-027.mspx

Factor de riesgo:
Crítica / CVSS Base Puntuación: 10,0
(CVSS2 # AV: N / AC: L / Au: N / C: C / I: C / A: C)
CVE: CVE-2005-1206
Oferta: 13942
Otras referencias: IAVA :2005-t-0019, OSVDB: 17308

Resumen:
Se ha detectado un problema de seguridad en SMB (Server Message Block) que podría permitir a un usuario malintencionado la ejecución remota de código.
SMB es el protocolo estándar de Internet que se utiliza para compartir archivos, impresoras, puertos serie y para comunicarse entre los equipos. Para hacerlo, SMB utiliza canalizaciones con nombre y ranuras de correo.

En un entorno de red, los servidores ponen los sistemas de archivos y los recursos a disposición de los usuarios. Los clientes efectúan peticiones SMB para obtener recursos. Los servidores generan respuestas SMB. Esto se describe como un protocolo de solicitudes y respuestas entre el servidor y el cliente.

Si el usuario actual tiene privilegios administrativos, el atacante podrá tomar el control total del sistema afectado, incluyendo la instalación de programas; visualizar, cambiar o borrar información; o crear nuevas cuentas con todos los privilegios.

Soluciones:

Bloquear los puertos TCP 139 y 445 en el servidor de seguridad:

Estos puertos se utilizan para iniciar una conexión con el protocolo afectado. Al bloquearlos en el servidor de seguridad, tanto entrante como saliente, evitará que los sistemas situados detrás de dicho servidor de seguridad de intentos de aprovechar esta vulnerabilidad. Le recomendamos bloquear toda la comunicación entrante no solicitada de Internet para ayudar a impedir ataques que puedan utilizar otros puertos.

Para protegerse de los intentos basados en red que aprovechen esta vulnerabilidad, bloquee los puertos afectados mediante IPSec en los sistemas afectados.

Utilice Seguridad del protocolo de Internet (IPSec) para ayudar a proteger las comunicaciones de red. Para esto se debe crear una política de filtrado con IPSec.

Activar el firewall en los equipos para bloquear las conexiones no deseadas a los equipos.

• Inicio.
• Panel de control.
• Firewall de windows.
• Clic en Activar.
• Clic en no permitir excepciones.
• Aceptar.