Parche crítico MS06-040


SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es		Anterior

INTRUSIONES Y PROBLEMAS POR FALTA DEL PARCHE MS06-040

Una de las incidencias más fuertes en intrusión, durante este verano, ha venido por exploits que aprovechan un agujero del servicio servidor que es subsanado por el parche MS06-040 del pasado mes de Agosto.

Son variados los efectos que producen los exploits sobre esta vulnerabilidad, desde uso de la CPU al 100 % en el proceso SVCHOST, hasta la presentación de una ventana de HOST GENERIC FAILURE causando la salida de la red, tanto de Intranet como de Internet, por desbordamiento de buffer del servicio servidor.

McAfee ya controla 4 gusanos que intentan aprovechar esta vulnerabilidad, intrusionando en máquinas en las que no se ha aplicado este reciente parche:

IRC-Mocbot!MS06-040
http://mx.mcafee.com/virusInfo/default.asp?id=description&virus_k=140394

W32/Opanki.worm!MS06-040
http://vil.nai.com/vil/content/v_140546.htm

W32/Gaobot.worm!MS06-040
http://vil.nai.com/vil/content/v_140490.htm

W32/Sdbot.worm!MS06-040
http://vil.nai.com/vil/content/v_140440.htm

Es muy importante en consecuencia tener este parche aplicado, lo cual se logra lanzando un windowsupdate, pues aunque puede aplicarse individualmente, se recuerda que la falta de cualquiera de los parches críticos puede facilitar la entrada de un virus.

Normalmente esta vulnerabilidad es usada por virus de BOT (IRC, chat, etc.) instalando un backdoor que permite el acceso a la máquina remotamente, según indica Microsoft en su articulo al respecto:

http://www.microsoft.com/spain/technet/seguridad/boletines/MS06-040-IT.mspx

Como resumen podemos decir que este parche es aplicable a sistemas Windows XP, Windows 2000, 2000 Server y 2003, si bien otros sistemas anteriores pueden ser vulnerables a dicho agujero, pero no están ya soportados por Microsoft (NT3.51, NT4, etc, tanto en estaciones de trabajo como en servidores).

Los puertos relativos a esta vulnerabilidad son el TCP 139 y el TCP 445 (NETBIOS y servicio servidor).

Con el backdoor instalado, el hacker puede acceder al control del sistema con los privilegios de la cuenta iniciada, por tanto si el usuario tiene privilegios de administrador, este tendrá un control total.

En consecuencia este parche está catalogado como critico por Microsoft y es imperativo instalarlo.

Recomendamos el uso de Windows Update para mantener el equipo al día con los últimos parches de seguridad:

1. Puede acceder a Windows Update a través de su navegador Ms Internet Explorer, menú Herramientas, pulsando click sobre Windows Update.

2. En la página principal de Windows Update, haga clic en Buscar Actualizaciones.

Notas:

También puede abrir Windows Update, haciendo clic en Inicio y, después, en Windows Update.
Para utilizar Windows Update, necesitará establecer una conexión a Internet.

SATINFO, VIRUSCAN SPAIN SERVICE 7 de Septiembre de 2006