domingo, mayo 02, 2004
Virus Sasser y cortafuegos de Windows XP
Pues ya he tenido la primera de llamada de alguien a quien le había entrado el Sasser, como a mí: mi primo. Eso me ha dado pie a investigar más sobre el asunto.
Para empezar, he descubierto que lo del avserve2.exe no era el Sasser original sino una variante, el Sasser.B. Según he comprobado, la vulnerabilidad que explotan ambos es una saturación del buffer (buffer overrun en la traducción de Microsoft) del servicio LSASS.
Aprovechando la coyuntura he estado investigando sobre el cortafuegos de Windows XP. Microsoft lo llama "servidor de seguridad". Se activa con Inicio->Panel de control->Conexiones de red e Internet y ahí se abren las propiedades de la conexión para la que se quiere habilitar. En la pestaña Avanzadas se escoge la opción Proteger mi equipo y mi red limitando o impidiendo el acceso al mismo desde Internet. Parece que actúa sólo como cortafuegos de entrada (impide conexiones entrantes) pero no de salida. Además, impide todas las conexiones sin avisar. Otros cortafuegos preguntan la primera vez que llega algo por un puerto, por si acaso fuese un puerto que necesitase estar abierto.
José Manuel Tella Llop tiene una buena descripción de los cambios en el cortafuegos del Serivce Pack 2.
Para empezar, he descubierto que lo del avserve2.exe no era el Sasser original sino una variante, el Sasser.B. Según he comprobado, la vulnerabilidad que explotan ambos es una saturación del buffer (buffer overrun en la traducción de Microsoft) del servicio LSASS.
Aprovechando la coyuntura he estado investigando sobre el cortafuegos de Windows XP. Microsoft lo llama "servidor de seguridad". Se activa con Inicio->Panel de control->Conexiones de red e Internet y ahí se abren las propiedades de la conexión para la que se quiere habilitar. En la pestaña Avanzadas se escoge la opción Proteger mi equipo y mi red limitando o impidiendo el acceso al mismo desde Internet. Parece que actúa sólo como cortafuegos de entrada (impide conexiones entrantes) pero no de salida. Además, impide todas las conexiones sin avisar. Otros cortafuegos preguntan la primera vez que llega algo por un puerto, por si acaso fuese un puerto que necesitase estar abierto.
José Manuel Tella Llop tiene una buena descripción de los cambios en el cortafuegos del Serivce Pack 2.
Comentarios:
Publicar un comentario
