[SECURITY-L] Falha grave poe em risco redes privadas da Microsoft

Daniela Regina Barbetti Silva daniela em ccuec.unicamp.br
Qui Out 3 15:06:43 -03 2002 

----- Forwarded message from caio_sm <caio_sm em ibahia.com> -----

From: "caio_sm" <caio_sm em ibahia.com>
Subject: Falha grave põe em risco redes privadas da Microsoft 
To: daniela em ccuec.unicamp.br
Date: Thu, 03 Oct 2002 00:20:19 GMT


Falha grave põe em risco redes privadas da Microsoft 

2/10/2002 - 18:30 Giordani Rodrigues 

Uma falha em um aplicativo da Microsoft pode expor as intranets
corporativas a sérios riscos de segurança, alertam especialistas. O
problema, divulgado pela empresa austríaca phion Information Technologies,
afeta serviços baseados no protocolo PPTP (Point-to-Point Tunnelling
Protocol), fornecidos com o Windows 2000 e XP e usados em redes privadas
virtuais (VPN) da Microsoft.

As VPNs normalmente são utilizadass em empresas para que os funcionários
possam conectar-se remotamente a suas redes internas, usando canais
criptografados em uma rede pública. Como são consideradas seguras, as VPNs
oferecem elevados privilégios de acesso, o que aumenta o perigo caso o
sistema apresente falhas. 

O especialista Marc Maiffret, da eEye Digital Security, foi um dos que
chamou a atenção para a gravidade do problema. “Se alguém penetrar no seu
servidor Web, isto é mau, mas não é o fim do mundo. Mas se alguém entrar na
sua VPN? Há muito pouca segurança dentro de um rede local”, disse o
especialista, segundo o site de tecnologia Silicon.com.

A Microsoft já foi avisada do bug e garante que está tomando providências
para tapar o furo o mais breve possível. A phion informa que ainda não há
uma solução definitiva para o problema, mas sugere como paliativo para o
Windows XP que se filtre a porta dos serviços PPTP através do firewall
nativo do sistema. Para o Windows 2000 não se conhece contorno semelhante.
A empresa afirma que não irá fornecer programas (exploits) para demonstrar
o bug, certamente devido a sua gravidade. Maiores detalhes podem ser
encontrados no site:


http://www.phion.com/adv/index.html


Fonte: InfoGuerra - http://www.infoguerra.com.br

----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L