martes, 10 de agosto de 1999

Grave problema de seguridad con IRDP

Un nuevo aviso de seguridad de L0pht destaca un grave problema
existente en sistemas Windows y Solaris que puede posibilitar
desde un simple ataque de denegación de servicios hasta la
escucha de todo el tráfico de la red.
El protocolo ICMP Router Discovery Protocol (IRDP) se encuentra
activado por defecto en los clientes DHCP que corren bajo Windows
95, Windows 98 y Windows 2000. En ellos, si un atacante falsea
los mensajes IRDP, puede llegar a añadir de forma remota entradas
en la tabla de rutado del sistema remoto. El sistema tendrá
preferencia por la ruta añadida por el atacante frente a la
obtenida del servidor DHCP.

Algunos sistemas SunOS también pueden usar de forma intencionada
IRDP bajo condiciones específicas. Para Solaris 2.6 el demonio
IRDP (in.rdisc) se iniciará si el sistema es un host y no un
router, si el sistema no adquiere un gateway del servidor DHCP,
si el sistema no tiene rutas estáticas y si el sistema no dispone
de un archivo etc/defaultrouter válido.

El grupo quiere destacar que el punto importante de su aviso no
recae en que los paquetes ICMP de solicitud de rutado no tengan
propiedades de autentificación. Aunque esto es un problema, ya
era conocido con anterioridad. El peligro recae en que las
plataformas Windows comentadas, activan el protocolo y confían en
él incluso aunque la configuración DHCP especifique la
información de rutado.

A través de este problema un atacante puede efectuar escuchas
pasivas, es decir, el usuario malicioso puede re-enrutar el
tráfico saliente del sistema vulnerable hacia el suyo propio.
Incluso llevando este ataque un poco más lejos, puede hacer lo
que se conoce como hombre en el medio (man in the middle). Es
decir, el atacante puede llegar a modificar el tráfico saliente
del sistema atacado y hacer que este sea considerado como
auténtico. También puede causar problemas de denegación de
servicios, añadiendo múltiples entradas falsas en la tabla de
rutado del host atacado.

Más información:
L0pht: http://www.l0pht.com
Aviso de Seguridad de L0pht: http://www.l0pht.com/advisories/rdp.txt
Cómo eliminar el protocolo IRDP: http://support.microsoft.com/support/kb/articles/q216/1/41.asp
Infoworld: http://www.infoworld.com/cgi-bin/displayStory.pl?990812.enlopht.htm
ZDNet: http://www.zdnet.com/zdnn/stories/news/0,4586,2313209,00.html



Antonio Ropero



Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017