Ocultamiento de información en firewall de WindowsUna debilidad ha sido identificada en Microsoft Windows, la cuál podría se explotada por usuarios locales para esconder cierta información.
Microsoft publicó al respecto un aviso de seguridad identificado como Microsoft Security Advisory 897663.
Este fallo, se debe a un error en la manera en que la interfase del firewall de Windows, maneja ciertas entradas malformadas en el registro de Windows, lo cuál podría ser explotado por un atacante o por un gusano o virus informático cuando el sistema ya haya sido comprometido, creando una entrada en las excepciones del cortafuego (Windows XP SP2), de tal modo que las mismas no serían mostradas en la interfase gráfica del usuario.
En el aviso, Microsoft aclara que aunque la interfase gráfica puede ocultar a la vista del usuario estas excepciones, en cambio sí las puede mostrar la herramienta de administración de línea de comandos del firewall (Netsh).
De todos modos, no se trata específicamente de una vulnerabilidad, ya que se requieren privilegios administrativos para acceder a la sección asociada del registro de Windows que contiene la información de configuración.
Utilizando los métodos documentados para manejar y crear las excepciones del cortafuegos de Windows, es muy improbable que una entrada malformada pueda ser creada. Sin embargo, un atacante que ya haya comprometido el sistema, podría crear estas entradas para confundir al usuario y dificultar la detección y limpieza manual de algún código malicioso.
Microsoft publicó un parche (de descarga manual), que próximamente será agregado a las actualizaciones automáticas. Mientras tanto, recomienda el siguiente método si se tienen dudas para examinar las excepciones activadas.
1. En Windows XP SP2, desde Inicio, Ejecutar escriba CMD más Enter.
2. Teclee la siguiente línea (más Enter):
netsh firewall show state verbose = ENABLE
3. En el extenso listado, busque el siguiente título (casi al final):
Puertos actualmente abiertos en todas las interfaces de red:
4. En la lista, aparecerán los puertos y programas que no son bloqueados. Esto incluiría los posibles programas o puertos que están asignados a una excepción (o sea, que no son bloqueados por el cortafuegos).
Una salida como la siguiente, puede considerarse como normal, siempre que se refieran a una red local como en este caso (Ámbito: LocalSubNet):
Puerto Protocolo Versión Programa
--------------------------------------------
137 UDP IPv4 (null)
Ámbito: LocalSubNet
139 TCP IPv4 (null)
Ámbito: LocalSubNet
138 UDP IPv4 (null)
Ámbito: LocalSubNet
445 TCP IPv4 (null)
Ámbito: LocalSubNet
Software afectado:
- Microsoft Windows XP Service Pack 2
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows Server 2003 Service Pack 1
- Microsoft Windows Server 2003 SP1 para Itanium
- Microsoft Windows Server 2003 x64 Edition
Solución:Aplicar el siguiente parche:
Actualización para Windows XP (KB897663)
http://www.microsoft.com/downloads/details.aspx?familyid=478FD24B-B2C4-4207-B1B9-1C988698C888&displaylang=es
Esta actualización garantiza que las excepciones del firewall creadas a través del registro se muestren correctamente en la interfase del cortafuegos.
Nota: La actualización está disponible solo para usuarios de Microsoft Windows auténtico.
También utilizar otro cortafuegos (recomendamos ZoneAlarm), es una sugerencia válida.
Referencias:
Microsoft Security Advisory (897663)
Windows Firewall Exception May Not Display in the User Interface
http://www.microsoft.com/technet/security/advisory/897663.mspxMicrosoft Windows Firewall User Interface Exception Handling Issue
http://www.frsirt.com/english/advisories/2005/1595Más información:
http://www.vsantivirus.com/ms-advisory-897663.htm
