Aumento significativo de escaneos contra el puerto 42Según reporta K-OTik Security, desde hace varios días se ha venido observando un aumento significativo del número de escaneos contra el puerto 42.
El Internet Storm Center del Sans Institute, ha confirmado la existencia de una actividad anormalmente elevada. Estos ataques están vinculados a la reciente vulnerabilidad descubierta en el servicio WINS (Microsoft Windows Internet Name Service) bajo Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Edición Terminal Server, Windows 2000 Server y Windows Server 2003.
Los investigadores de Immunity Sec. habían publicado los detalles técnicos de esta vulnerabilidad, y varios códigos con exploits para este fallo, están actualmente en circulación.
K-OTik Security confirma que al menos dos de estos exploits son totalmente operativos. Aunque uno provoca que el servicio deje de responder, solo basta una pequeña modificación de su código para hacerlo totalmente funcional.
El segundo exploit compromete seriamente al sistema. Aunque ninguno está disponible públicamente en la red, el aumento notorio del escaneo de los puertos TCP y UDP 42, parece indicar que estos u otros exploits similares ya están siendo utilizados.
Además, un nuevo gusano con características de troyano, se está propagando actualmente, valiéndose de esta vulnerabilidad en WINS. Detectado como Winser.A, se aprovecha de varios exploits (privados y públicos), e identifica sus potenciales objetivos mediante el escaneo del puerto TCP/42.
Cuando Winser se ejecuta en un equipo vulnerable se copia en él como ccSetMngr.exe. Una vez infectado el equipo, el gusano abre una puerta trasera y utiliza los puertos TCP 36010 y 37264 para recibir instrucciones y enviar datos.
Winser.A puede ser instalado por otro troyano, Hzdoor.A (también identificado como Hazdoor, Hax, Winxor, SetMngr y Reethax, entre otros nombres).
Los equipos comprometidos por Winser.A, también pueden ser controlados a través de canales de IRC.
Se recomienda la urgente instalación del parche MS04-045 publicado en diciembre de 2004 por Microsoft. Dicho parche bloquea la mencionada vulnerabilidad, e impide la propagación de estos troyanos, y la acción de cualquier otro exploit que pretenda aprovecharse en el futuro del mismo fallo (ver "Relacionados").
También se recomienda bloquear el acceso a Internet de los puertos TCP/42 y UDP/42.
El servicio WINS no se instala en ninguna configuración por defecto de los sistemas operativos mencionados (Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server, Windows Server 2003). En cambio, se instala por defecto en Microsoft Small Business Server 2000 y Microsoft Windows Small Business Server 2003, aunque en este caso, la comunicación está bloqueada desde Internet, y disponible solo en la red local.
El Servicio de Nombres de Internet de Windows (WINS por las siglas en inglés de Windows Internet Naming Service), es un protocolo basado en NetBIOS, utilizado para asignar direcciones IP a los nombres descriptivos de las computadoras de una red.
En una red Windows, a cada máquina se le asigna un nombre único, utilizado entre otras cosas para compartir recursos. Generalmente se hace uso de un servidor WINS para resolver los nombres de las máquinas que se encuentren en dos redes IP distintas, o para disminuir la cantidad de solicitudes entre máquinas de una misma red IP. Este servidor permite que las máquinas se registren cuando se encienden o conectan a la red, y mantiene actualizada la tabla de correspondencia NOMBRE = DIRECCION IP.
Relacionados:
MS04-045 Ejecución remota de código en WINS (870763)
http://www.vsantivirus.com/vulms04-045.htmTroj/Hzdoor.A. Troyano que usa exploit de WINS
http://www.vsantivirus.com/troj-hzdoor-a.htmTroj/Winser.A. Explota la vulnerabilidad en WINS
http://www.vsantivirus.com/troj-winser-a.htmMás información y fuente:
Augmentation significative du nombre de scans contre le port 42
http://www.k-otik.com/news/20041214.WinsScan.phpPublicado en:
http://www.vsantivirus.com/09-01-05.htm