[SECURITY-L] Falha no Mensageiro e' mais perigosa do que se pensava

[Security Team - UNICAMP]

----- Forwarded message from Caio Souza Mendes <caio_sm em yahoo.com.br> -----

From: Caio Souza Mendes <caio_sm em yahoo.com.br>
Subject: Falha no Mensageiro X mais perigosa do que se pensava
To: security em unicamp.br
Date: Wed, 17 Dec 2003 19:46:20 -0300 (ART)

Falha no Mensageiro é mais perigosa do que se pensava

17/12/2003 - 18:31 Angela Ruiz

http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1071693071,1829,/

Segundo a Symantec, um potencial exploit (programa)
para uma vulnerabilidade no serviço Menssageiro do
Windows (Microsoft Windows Messenger Service) pode ter
conseqüências muito mais graves do que se esperava.
Enquanto o worm Slammer teve de atacar cada sistema de
forma individual, o exploit do Mensageiro permite aos
piratas informáticos enviar apenas um pacote de dados
para atacar todos os sistemas de uma rede.

O serviço Windows Messenger faz parte do Windows (NT,
2000, XP e Server 2003) e permite que os usuários
enviem mensagens para outro computador na mesma rede
usando uma janela pop-up. Isso também pode ser feito
com qualquer outra máquina conectada à Internet que
use os mesmos sistemas operacionais.

Existe uma vulnerabilidade neste serviço que permite a
execução arbitrária de código no sistema afetado, por
meio de um estouro de buffer. Segundo os
investigadores da Symantec, foi encontrada uma grande
quantidade de métodos diferentes que podem ser usados
para explorar o problema. Isso o torna muito mais
grave do que parecia quando foi descoberto.

Oliver Friedrichs, responsável pela equipe de resposta
de segurança da Symantec, disse que cada sistema
vulnerável em uma rede poderia potencialmente ser
atacado ou ser infectado se o exploit for desenvolvido
e usado como um worm. O exploit do serviço Mensageiro
também poderia ser usado para atacar servidores de
banco de dados, como aconteceu com o Slammer, assim
como qualquer máquina que use o Windows 2000, XP, NT
ou Server 2003.

Para explorar o problema, um cracker precisa se
conectar a qualquer sistema vulnerável, pela Internet
ou pela rede local. O Mensageiro usa as portas TCP
135, 139, 445 e 593; UDP 135, 137 e 138; e outras
portas UDP no intervalo de 1025 a 1035.

A Symantec recomenda quatro maneiras de se proteger
contra essa vulnerabilidade:

1) É possível instalar um patch de correção disponível
no site da
Microsoft, junto com o boletim MS03-043.
2) Os administradores de redes podem bloquear as
portas afetadas,
indicadas acima.
3) Os usuários individuais podem instalar um firewall
para uso pessoal, como o que existe embutido no XP, ou
de fornecedores especializados.
4) É possível desabilitar o serviço Messenger desta
forma:

Windows XP

a. Clique em "Iniciar" - "Painel de Controle"
b. Selecione "Ferramentas administrativas"
c. Clique duas vezes em "Serviços"
d. Selecione "Messenger" ou "Mensageiro"
e. Clique com o botão direito do mouse e selecione
"Propriedades"
f. Clique no botão "Parar" (ou "Stop")
g. Selecione a opção para desabilitar ou tornar o
serviço manual
h. Clique em "OK" para aceitar as alterações

Windows 2000

a. Clique em "Iniciar" - "Programas" - "Ferramentas
administrativas" -
"Serviços"
b. Selecione "Messenger" ou "Mensageiro"
c. Clique com o botão direito do mouse e selecione
"Propriedades"
d. Clique no botão "Parar" (ou "Stop")
e. Selecione a opção para desabilitar ou tornar o
serviço manual
f. Clique em "OK" para aceitar as alterações

Windows NT

a. Clique em "Iniciar" - "Painel de Controle"
b. Selecione "Serviços"
c. Selecione "Messenger" ou "Mensageiro"
d. Clique com o botão direito do mouse e selecione
"Propriedades"
e. Clique no botão "Parar" (ou "Stop")
f. Selecione a opção para desabilitar ou tornar o
serviço manual
g. Clique em "OK" para aceitar as alterações


Angela Ruiz é colaboradora do site VSantivirus. Texto
publicado sob autorização. URL original:
http://www.vsantivirus.com/17-12-03.htm.

Tradução de Helena Nacinovic


----- End forwarded message -----