BUFFER OVERFLOW EN PLATAFORMAS
WINDOWS
Luis Enrique Barrera Torres
IS- Especialista en Seguridad de Redes
Universidad Católica de Colombia
[email protected]
Ponencia presentada en el marco de la primera Jornada
Nacional de Seguridad Informática.
Asociación Colombiana de Ingenieros de Sistemas - ACIS
Bogotá, Colombia. Jul.2001
LEBT 2001
Universidad Católica de Colombia
All Rights Reserved.
Pág. 1
AGENDA
Introducción
Descripción del Ataque
Análisis de trafico de red
del ataque. Estimulo y
respuesta
Prevención del ataque
Referencias y recursos
LEBT 2001
Universidad Católica de Colombia
All Rights Reserved.
Pág. 2
INTRODUCCION
DEFINICION
Se produce cuando un programa no comprueba que
la entrada de datos tiene la longitud adecuada, por
lo tanto, cualquier entrada no esperada desborda
una porción de la pila de ejecución de la CPU.
"...un desbordamiento de memoria buffer se
aprovecha de un defecto inherente dentro de un
trozo específico del código de una aplicación para
introducir mandatos arbitrarios en la cola de
ejecución del procesador” [1]
[1].Tomado de Hackers secretos y soluciones para la seguridad de redes.
McClure Stuart, Scambray Joel, Kurtz George.
LEBT 2001
Universidad Católica de Colombia
All Rights Reserved.
Pág. 3
DESCRIPCION DEL ATAQUE
El ataque fundamentalmente aprovecha un
error de programación en el soporte de redes
Windows.
Ambiente de computo en que se da el ataque
• Máquinas Windows 95.
• Las máquinas deben estar interconectadas por una
red usando el protocolo de TCP/IP.
• Tener Activo los servicios NETBIOS, para ello solo
basta tener activada la opción “Compartir impresoras
y archivos”, de la opción red, en el Panel de control.
LEBT 2001
Universidad Católica de Colombia
All Rights Reserved.
Pág. 4
DESCRIPCION DEL ATAQUE
Aplicación
Winsock
NetBIOS
Aplicación
Red TCP/IP
Winsock
TCP/IP
TCP/IP
AntiWin
.exe
NDIS
[2].
NetBIOS
NDIS
[2].
Acciones
Identificación de parámetros para programa hacking (IP, puerto)
Creación de un socket desde la máquina origen (atacante) a la
máquina destino (víctima).
Envío de paquetes TCP con valores altos (unos) en los campos
URGENT POINTER Y CODE BIT, y Cierre del Socket
Presentación de pantalla azul en la máquina atacada, generando un
error de protección, causando una excepción en el controlador
NDIS.
[2]. Lee Thomas, Daves Joseph. “Microsoft Windows 2000: TCP/IP Protocolos y servicios”.
LEBT 2001
Universidad Católica de Colombia
All Rights Reserved.
Pág. 5
ANALISIS DE TRAFICO DE RED
Caso de trafico de red
- Capturado mediante Windump.
IP ATACANTE:
192.168.5.151
IP VICTIMA:
192.168.5.159
ESTABLECIMIENTO DE UNA CONEXIÓN TCP ( TRES VÍAS)
20:48:17.252573 192.168.5.151.1055 > 192.168.5.159.139: S 1767968:1767968(0) win 8192 <mss 1460> (DF)
20:48:17.252919 192.168.5.159.139 > 192.168.5.151.1055: S 397071:397071(0) ack 1767969 win 8760 <mss 1460> (DF)
20:48:17.253101 192.168.5.151.1055 > 192.168.5.159.139: . ack 1 win 8760 (DF)
FINALIZACION DE LA CONEXIÓN TCP
20:48:17.262800 192.168.5.151.1055 > 192.168.5.159.139: F 1:1(0) ack 1 win 8760 (DF)
20:48:17.262983 192.168.5.159.139 > 192.168.5.151.1055: F 1:1(0) ack 2 win 8760 (DF)
20:48:17.263191 192.168.5.151.1055 > 192.168.5.159.139: . ack 2 win 8760 (DF)
NUEVAMENTE SE ESTABLECE UNA CONEXIÓN TCP ( TRES VÍAS)
20:48:21.361572 192.168.5.151.1056 > 192.168.5.159.139: S 1772078:1772078(0) win 8192 <mss 1460> (DF)
20:48:21.361870 192.168.5.159.139 > 192.168.5.151.1056: S 401180:401180(0) ack 1772079 win 8760 <mss 1460> (DF)
20:48:21.362054 192.168.5.151.1056 > 192.168.5.159.139: . ack 1 win 8760 (DF)
ENVIO DE UN PAQUETE DE TIPO URGENTE CON 12 BYTES Y NO PUEDE SER INTERPRETADO POR NETBIOS CAUSANDO
UNA EXCEPCION EN EL CONTROLADOR NDIS.
20:48:21.365901 192.168.5.151.1056 > 192.168.5.159.139: P 1:13(12) ack 1 win 8760 urg 12
>>> NBT Packet
flags=0xa1
NBT - Unknown packet type
Type=0xA1A1A14D
Data: (8 bytes)
[000] 75 65 72 65 21 21 21 00
uere!!!.
(DF)
LEBT 2001
Universidad Católica de Colombia
All Rights Reserved.
Pág. 6
PREVENCION DEL ATAQUE
Microsoft desarrollo una actualización y corrección que elimina
este tipo de vulnerabilidad sobre plataformas Windows 95
La corrección consta de dos archivos disponibles en su sitio WEB
y son VTCP.386 y VNBT.386.
Al ejecutar la actualización, ambos archivos se copian en la carpeta
Windows\system.
De esta manera los paquetes de datos Out Of Band (OOB), pueden
ser manejados adecuadamente durante una sesión TCP/IP
Los URL´s donde se encuentra la corrección son:
http://support.microsoft.com/support/kb/articles/Q168/7/47.ASP
http://support.microsoft.com/support/kb/articles/Q143/4/78.ASP
LEBT 2001
Universidad Católica de Colombia
All Rights Reserved.
Pág. 7
REFERENCIAS
• McClure Stuart, Scambray Joel, Kurtz George. McGraw Hill
"Hackers secretos y soluciones para la seguridad de redes”.
•Lee Thomas, Daves Joseph. “Microsoft Windows 2000: TCP/IP
Protocolos y servicios”. Referencia técnica. McGraw Hill. 2000
• Stephen Northcutt, Judy Novak, Donald Mc Lachlan , Detección de
intrusos, Guía Avanzada, Prentice Hall, 2001, pag 26.
•E.Comer Douglas “Internetworking with TCP/IP” Principles,
protocols and architecture”, Prentice Hall International Editions,
1991, Vol I, pags 183-185.
• E. Comer Douglas, Stevens David L “Internetworking with TCP/IP”
Design, implementations and internals”, Prentice Hall International
Editions, 1991, Vol II, pags 285-295
LEBT 2001
Universidad Católica de Colombia
All Rights Reserved.
Pág. 8
RECURSOS WEB
http://netgroup-serv.polito.it/ windump/
http://fiee.uni.edu.pe/kdiaz/hacking. Htm.
http://support.microsoft.com/support/kb/articles/Q168/7/47.ASP
http://support.microsoft.com/support/kb/articles/Q143/4/78.ASP
LEBT 2001
Universidad Católica de Colombia
All Rights Reserved.
Pág. 9
FIN DE LA PONENCIA
! MUCHAS GRACIAS
POR SU ATENCION !
LEBT 2001
Universidad Católica de Colombia
All Rights Reserved.
Pág. 10
Descargar

BUFFER OVERFLOW EN PLATAFORMAS WINDOWS