LAS VEGAS: una falla de implementación en un antiguo servicio de red de Windows permite a los atacantes tomar el control de Internet de forma remota conexiones en todas las PC con Windows realizadas en los últimos 20 años, dijo el investigador de seguridad Yang Yu en la conferencia de seguridad de Black Hat aquí hoy (Ago. 4).

Crédito: SvedOliver / Shutterstock
(Crédito de la imagen: SvedOliver / Shutterstock)

Yu, director del laboratorio de investigación del gigante tecnológico chino Tencent, explicó que la falla radicaba en el servicio NetBIOS y cómo se conectaba a Internet. Para explotar la falla, dijo que había creado un malware de prueba de concepto, al que llamó BadTunnel.

"Con BadTunnel, puede secuestrar el tráfico de red de cada versión de Windows desde Windows 95", dijo Yu.

Microsoft lanzó un parche para la falla en junio, pero las máquinas sin parche, incluidas todas las máquinas que ejecutan Windows XP y versiones anteriores, siguen siendo vulnerables al malware de Yu.

NetBIOS es una interfaz de software que proporciona conexiones de red local que se remonta a 1983. Con Windows 95, Microsoft amplió las capacidades de NetBIOS para permitirle conectarse a Internet mediante el uso de los protocolos TCP / IP estándar de Internet.

"¿Qué tan antiguo es NetBIOS?" Yu preguntó. "Estudie el trabajo en él y verá aparecer el nombre 'Cult of Dead Cow'", en referencia a un legendario equipo de piratas informáticos activo en la década de 1980.

MÁS: Las mejores aplicaciones y software antivirus

NetBIOS tiene su propio sistema de nombres, que asigna nombres a cada dispositivo en una red local. Llamado Servicio de Nombres NetBIOS, o NBNS, el servicio es similar al Sistema de Nombres de Dominio (DNS) utilizado por Internet, pero es mucho menos seguro.

La seguridad de DNS se basa en la aleatoriedad, explicó Yu. Un atacante que intente interceptar el tráfico DNS no podría adivinar un ID de transacción de red DNS o los puertos de red de Windows a los que irían los comandos DNS.

Pero, dijo Yu, NBNS no es aleatorio en absoluto. En cambio, tanto el tráfico entrante como el saliente viaja por el puerto 137, y los ID de transacción se incrementan: 56 seguirá a 55, y así sucesivamente. Eso estaba bien cuando NetBIOS se usaba estrictamente para redes locales, ya que se suponía que todas las máquinas de la red eran confiables. Pero no es seguro conectarse a Internet.

Además, explicó Yu, en todas las versiones de Windows, NetBIOS utilizará el puerto 137 como respaldo si los puertos normales 139 y 445 de NetBIOS son inaccesibles. Al bloquear esos puertos, un atacante puede obligar a una máquina conectada a enrutar todo el tráfico NetBIOS al puerto 137, y abusar del Protocolo de nomenclatura no aleatoria para intentar tomar el control del tráfico de red de la máquina que se conecta mediante la reconfiguración de Internet. conexiones.

¿Cómo haría eso el atacante? Como muchos protocolos de Internet en segundo plano, dijo Yu, los paquetes de datos NBNS están en el UDP no confiable y no verificado. formato en lugar del formato TCP confiable y verificado, lo que significa que es más fácil infiltrarse datos. Eso es exactamente lo que hace el malware BadTunnel de Yu.

En una demostración, mostró cómo dos computadoras con Windows XP, llamadas "Alice" y "Bob" usando ejemplos de redes clásicas, se conectaban. Alice intentó conectarse a una dirección IP específica en la máquina de Bob, pero Bob bloqueó los puertos 139 y 445.

La máquina de Alice retrocedió al puerto 137, que la máquina de Bob aceptó, pero la máquina de Bob albergaba el BadTunnel malware, que abusó de la falla de NetBIOS para redirigir las conexiones de Internet de Alice para aceptar la máquina de Bob como DNS servidor.

Eso significa que después de la implementación del malware BadTunnel, la máquina de Bob ahora esencialmente controlaba el tráfico de Internet de Alice. Podría enviarla a sitios web maliciosos sin su conocimiento, como redirigir su página de inicio de sesión de Facebook a una página de Facebook falsa que capturó su nombre de usuario y contraseña de Facebook.

"Esto te da poder de Gran Hermano", dijo Yu.

Para defenderse de BadTunnel, Yu dijo que los usuarios de Windows Vista y versiones posteriores simplemente deberían instalar los parches de junio de 2016 de Microsoft. Pero los usuarios de Windows XP y versiones anteriores necesitarán deshabilitar NetBIOS sobre TCP / IP, y los firewalls utilizados por las máquinas con Windows XP deben configurarse para bloquear el puerto 137.

  • El malware más peligroso en este momento
  • Los mejores servicios de protección contra robo de identidad
  • ¿Qué es el ransomware y cómo puedo protegerme?

Obtenga acceso instantáneo a noticias de última hora, las mejores críticas, grandes ofertas y consejos útiles.

Gracias por registrarse en Tom's Guide. Recibirá un correo electrónico de verificación en breve.

Había un problema. Actualice la página y vuelva a intentarlo.

Sin spam, lo prometemos. Puede darse de baja en cualquier momento y nunca compartiremos sus datos sin su permiso.