Sunday, March 15, 2009

Patchigation o Patchcebo



Un termino inventando por la gente de ncircle para nombrar el efecto de aplicar un patch que no causa ningun efecto, como el placebo en los enfermos, a los cuales se le da una pastilla inocua.

La vulnerabilidad que supuestamente repara el patch ms09-008, afecta a los servidores DNS, especificamente a la registracion de las entradas WPAD(Web Proxy Autodiscovery Protocol). Este servicio permite configurar el seteo automatico de los proxies en las maquinas, sin la intervencion del usuario.

Microsoft lanzo el patch MS09-008 que deberiar eliminar la posibilidad de setear entradas dinamicas wpad e isatap en los servers DNS, pero segun el articulo de ncircle, Microsoft opto por bloquear la respuesta valida y no por bloquear la entrada de un registro malicioso.

Esta vulnerabilidad puede ser usada en ataques de "man-in-the-middle" en DNS servers de Windows. Un ataque que utilize este metodo, enviaria un registro WPAD a los servers DNS ( con updates dinamico ) con una IP diferente de un server Proxy valido y las maquinas de los usuarios que configuren el proxy automaticamente redirigirian todo su trafico a un server malicioso.

Microsoft creo dos nuevos valores en su registry bajo la llave

HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters



Una vez creado estos valores en la registry, si alguien trata de lanzar un ataque MiM, este no funcionara, en tanto el sistema bloqueara las peticiones de entradas WPAD, a menos que la entrada no haya sido creada antes de aplicar el patch.

Es decir que si no eras victima de un MiM y aplicas el patch, tu maquina queda vacunada de este problema, pero lamentablemente en caso de tener los registros del DNS modificados anteriormente aun podes seguir siendo victima de este tipo de ataques.

Esto, dado que el patch agrega una entrada con el tipo de registro faltante ( ISATAP o WPAD o ambos ) pero por una cuestion de funcionalidad, no sobreescribe los registros existentes ( los cuales pudieron ser modificados por un atacante )


Microsoft da su punto de vista en esta entrada :

MS09-008: DNS and WINS Server Security Update in More Detail

Microsoft alega que los patchs son para proteger de futuros incidentes y no de incidentes del pasado o de los cuales las maquinas son victimas actualmente.

No comments: