Ponencia presentada en el marco de la primera Jornada Nacional de Seguridad Informática.

1. BUFFER OVERFLOW EN PLATAFORMAS WINDOWS Luis Enrique Barrera Torres IS- Especialista en Seguridad de Redes Universidad Católica de Colombia lebarrera07@ucatolica.edu.co Ponencia presentada en el marco de la primera Jornada Nacional de Seguridad Informática. Asociación Colombiana de Ingenieros de Sistemas - ACIS Bogotá, Colombia. Jul.2001

2. AGENDA Introducción Descripción del Ataque Análisis de trafico de red del ataque. Estimulo y respuesta Prevención del ataque Referencias y recursos

3. INTRODUCCION DEFINICION Se produce cuando un programa no comprueba que la entrada de datos tiene la longitud adecuada, por lo tanto, cualquier entrada no esperada desborda una porción de la pila de ejecución de la CPU. "...un desbordamiento de memoria buffer se aprovecha de un defecto inherente dentro de un trozo específico del código de una aplicación para introducir mandatos arbitrarios en la cola de ejecución del procesador” [1] [1].Tomado de Hackers secretos y soluciones para la seguridad de redes. McClure Stuart, Scambray Joel, Kurtz George.

4. DESCRIPCION DEL ATAQUE El ataque fundamentalmente aprovecha un error de programación en el soporte de redes Windows. Ambiente de computo en que se da el ataque • Máquinas Windows 95. • Las máquinas deben estar interconectadas por una red usando el protocolo de TCP/IP. • Tener Activo los servicios NETBIOS, para ello solo basta tener activada la opción “Compartir impresoras y archivos”, de la opción red, en el Panel de control.

5. Red TCP/IP AntiWin .exe Aplicación Aplicación Winsock Winsock NetBIOS NetBIOS TCP/IP TCP/IP NDIS NDIS DESCRIPCION DEL ATAQUE [2]. Acciones [2]. Identificación de parámetros para programa hacking (IP, puerto) Creación de un socket desde la máquina origen (atacante) a la máquina destino (víctima). Envío de paquetes TCP con valores altos (unos) en los campos URGENT POINTER Y CODE BIT, y Cierre del Socket Presentación de pantalla azul en la máquina atacada, generando un error de protección, causando una excepción en el controlador NDIS. [2]. Lee Thomas, Daves Joseph. “Microsoft Windows 2000: TCP/IP Protocolos y servicios”.

6. ANALISIS DE TRAFICO DE RED Caso de trafico de red - Capturado mediante Windump. IP ATACANTE: 192.168.5.151 IP VICTIMA: 192.168.5.159 ESTABLECIMIENTO DE UNA CONEXIÓN TCP ( TRES VÍAS) 20:48:17.252573 192.168.5.151.1055 > 192.168.5.159.139: S 1767968:1767968(0) win 8192 <mss 1460> (DF) 20:48:17.252919 192.168.5.159.139 > 192.168.5.151.1055: S 397071:397071(0) ack 1767969 win 8760 <mss 1460> (DF) 20:48:17.253101 192.168.5.151.1055 > 192.168.5.159.139: . ack 1 win 8760 (DF) FINALIZACION DE LA CONEXIÓN TCP 20:48:17.262800 192.168.5.151.1055 > 192.168.5.159.139: F 1:1(0) ack 1 win 8760 (DF) 20:48:17.262983 192.168.5.159.139 > 192.168.5.151.1055: F 1:1(0) ack 2 win 8760 (DF) 20:48:17.263191 192.168.5.151.1055 > 192.168.5.159.139: . ack 2 win 8760 (DF) NUEVAMENTE SE ESTABLECE UNA CONEXIÓN TCP ( TRES VÍAS) 20:48:21.361572 192.168.5.151.1056 > 192.168.5.159.139: S 1772078:1772078(0) win 8192 <mss 1460> (DF) 20:48:21.361870 192.168.5.159.139 > 192.168.5.151.1056: S 401180:401180(0) ack 1772079 win 8760 <mss 1460> (DF) 20:48:21.362054 192.168.5.151.1056 > 192.168.5.159.139: . ack 1 win 8760 (DF) ENVIO DE UN PAQUETE DE TIPO URGENTE CON 12 BYTES Y NO PUEDE SER INTERPRETADO POR NETBIOS CAUSANDO UNA EXCEPCION EN EL CONTROLADOR NDIS. 20:48:21.365901 192.168.5.151.1056 > 192.168.5.159.139: P 1:13(12) ack 1 win 8760 urg 12 >>> NBT Packet flags=0xa1 NBT - Unknown packet type Type=0xA1A1A14D Data: (8 bytes) [000] 75 65 72 65 21 21 21 00 uere!!!. (DF)

7. PREVENCION DEL ATAQUE Microsoft desarrollo una actualización y corrección que elimina este tipo de vulnerabilidad sobre plataformas Windows 95 La corrección consta de dos archivos disponibles en su sitio WEB y son VTCP.386 y VNBT.386. Al ejecutar la actualización, ambos archivos se copian en la carpeta Windows\system. De esta manera los paquetes de datos Out Of Band (OOB), pueden ser manejados adecuadamente durante una sesión TCP/IP Los URL´s donde se encuentra la corrección son: http://support.microsoft.com/support/kb/articles/Q168/7/47.ASP http://support.microsoft.com/support/kb/articles/Q143/4/78.ASP

8. REFERENCIAS • McClure Stuart, Scambray Joel, Kurtz George. McGraw Hill "Hackers secretos y soluciones para la seguridad de redes”. • Lee Thomas, Daves Joseph. “Microsoft Windows 2000: TCP/IP Protocolos y servicios”. Referencia técnica. McGraw Hill. 2000 • Stephen Northcutt, Judy Novak, Donald Mc Lachlan , Detección de intrusos, Guía Avanzada, Prentice Hall, 2001, pag 26. • E.Comer Douglas “Internetworking with TCP/IP” Principles, protocols and architecture”, Prentice Hall International Editions, 1991, Vol I, pags 183-185. • E. Comer Douglas, Stevens David L “Internetworking with TCP/IP” Design, implementations and internals”, Prentice Hall International Editions, 1991, Vol II, pags 285-295

9. RECURSOS WEB http://netgroup-serv.polito.it/ windump/ http://fiee.uni.edu.pe/kdiaz/hacking. Htm. http://support.microsoft.com/support/kb/articles/Q168/7/47.ASP http://support.microsoft.com/support/kb/articles/Q143/4/78.ASP

10. FIN DE LA PONENCIA ! MUCHAS GRACIAS POR SU ATENCION !