Miles de sitios bajo Windows NT en peligroAún hoy, existen cientos de miles de sitios Web que continúan ejecutando Windows NT 4, y que por lo tanto siguen y seguirán en peligro de cualquier ataque que se aproveche de una vulnerabilidad ya parchada para otros sistemas operativos.
El agujero en un protocolo clave de Windows, Server Message Block (SMB), fue solucionado con un parche para Windows XP, Windows Server 2003 y Windows 2000 en febrero de 2005 (ver "MS05-011 Ejecución remota de código en SMB (885250)",
http://www.vsantivirus.com/vulms05-011.htm).
Sin embargo, como Windows NT 4 finalizó el pasado 31 de diciembre de 2004 su periodo extendido del ciclo de vida estipulado, ya no tiene el soporte de Microsoft, y por lo tanto no se publicó ni se publicará ningún parche gratuito para él.
En cambio los clientes de NT 4 que pagan por el soporte técnico extendido, si recibieron los parches. Dicho servicio se mantendrá hasta finales de 2006.
Esto deja un gran número de sitios Web, vulnerables a cualquier ataque basado en la vulnerabilidad SMB, comenta Netcraft, una empresa británica de monitoreo de sitios Web. Según la última encuesta sobre servidores Web de Netcraft, cerca del 1,1 por ciento de los dominios con servicio web, (aproximadamente 680,000), aún funcionan bajo Windows NT 4.
Miles de esos dominios, dijo Netcraft, son sitios que emplean SSL (Secure Socket Layer, una tecnología que utiliza criptografía para cifrar los datos que se intercambian con un servidor seguro), y que podrían estar manejando comercio electrónico, lo que los convierte en lugares particularmente atractivos para los piratas informáticos.
Por su parte, Marc Maiffret de eEye Digital Security, dijo que las organizaciones que todavía utilizan Windows NT 4 y no pueden pagar por el servicio de extensión de soporte, no tienen muchas opciones.
Maiffret sugiere habilitar el firmado SMB, una medida temporal que podría mitigar algunos potenciales ataques. "Esto realmente no mitiga el ataque, pero modifica el protocolo SMB de tal modo que la mayoría de las herramientas usadas actualmente para los ataques no funcionan", dijo Maiffret
Se puede encontrar más información sobre cómo habilitar el firmado de SMB en el sitio de Microsoft (ver "Cómo habilitar SMB de firma en Windows NT",
http://support.microsoft.com/?kbid=161372).
Por su parte, Microsoft ha estado incentivando a sus clientes de NT 4 para que se cambien a Windows Server 2003. En el boletín de seguridad de febrero sobre la vulnerabilidad SMB (MS05-011), se insiste en que debería ser una prioridad para los clientes que tienen NT, migrar urgentemente a versiones soportadas para prevenir la exposición potencial a ésta y otras vulnerabilidades.
En diciembre de 2004, cuando Microsoft, luego de un año de extensión, finalizó el soporte para NT, Peter Houston, director del grupo de servicios, decía que "Windows NT Server 4.0 fue desarrollado antes de la era de los sofisticados ataques basados en Internet, y ya ha alcanzado el punto de obsolescencia de su arquitectura. Sería irresponsable transmitir un falso sentido de seguridad extendiendo el soporte público para este producto."
El protocolo SMB (Server Message Block Protocol), es empleado por Windows para acceder a los recursos compartidos de una red (puertos TCP 139 y 445). La explotación exitosa de la vulnerabilidad mencionada, puede permitir la ejecución remota de código. Bajo ciertas circunstancias, un atacante podrá tomar el control total del sistema afectado.
Relacionados:
Cómo habilitar SMB de firma en Windows NT
http://support.microsoft.com/?kbid=161372MS05-011 Ejecución remota de código en SMB (885250)
http://www.vsantivirus.com/vulms05-011.htmFuente:
Web Sites Running On Windows NT At Risk
http://www.securitypipeline.com/news/159401022Publicado en:
http://www.vsantivirus.com/20-03-05.htm
