Open Netbios Este informe identifica los hosts con el servicio NetBIOS en funcionamiento y accesible en Internet. Estos servicios tienen el potencial de ser utilizado en ataques de amplificación por delincuentes que deseen realizar ataques de denegación de servicio. El comando para identificar estos hosts sería: nbtstat -A [ ip ] INFORMACIÓN DE LOS CAMPOS ADJUNTOS AL REPORTE:
Campos Descripción
Vulnerabilidad Hace referencia al nombre de la vulnerabilidad
Dirección IP Dirección IP del dispositivo en cuestión
Puerto Puerto que responde a la vulnerabilidad
TIMESTAMP_ECUCERT Tiempo en que la IP fue probada por el ECUCERT
AS_name Nombre del ASN
STATUS_ECUCERT Estado de la vulnerabilidad
timestamp Tiempo que la IP fue probada en UTC+0
ip La dirección IP del dispositivo en cuestión
protocol Protocolo por la que la respuesta DNS ingresó (por lo general UDP )
port Puerto por la que la respuesta NetBIOS ingresó
hostname Nombre DNS reverso del dispositivo en cuestión
tag Siempre será NetBIOS
mac_address La dirección MAC que NetBIOS informa que el host probado está utilizando.
asn ASN en el que el dispositivo en cuestión reside
geo País en el que el dispositivo en cuestión reside
region Estado / Provincia / Región administrativa donde el dispositivo en cuestión reside
city Ciudad en el que el dispositivo en cuestión reside
workgroup El nombre de grupo de trabajo / dominio reportado de que el host probado pertenece
machine_name El nombre NetBIOS reportado de que el host está utilizando
username El posible nombre de usuario que se registra en el huésped probado
REVISIÓN Microsoft Internet Security and Acceleration Server 2000 contiene una vulnerabilidad de elevación de privilegios que permite a un atacante crear conexiones de servicio NetBIOS no previstos dentro del anfitrión ISA Server afectado . DESCRIPCIÓN Microsoft ISA Server 2000 contiene firewall, redes privadas virtuales y soluciones de almacenamiento en caché web. ISA Server 2000 contiene un error en el manejo de NetBIOS que permite a un atacante para conectar a los servicios de NetBIOS en el host de ISA Server 2000. IMPACTO Un atacante remoto no autenticado podría ser capaz de conectarse a los servicios de NetBIOS en el ISA Server afectado si el host del servidor ISA ha permitido a la NetBIOS (todos) filtros de paquetes predefinido. SOLUCIÓN Aplicar una actualización Vea el Boletín de seguridad de Microsoft MS05-034 (http://www.microsoft.com/spain/technet/seguridad/boletines/MS05-034-IT.mspx ), para obtener más información, tales como soluciones y parches. Como solución o prevención a este tipo de ataques, podemos deshabilitar NetBIOS, esto se hace ingresando a Panel de control----> Conexiones de red-----> elegimos el grupo de red al que pertenece el equipo------> Propiedades-----> seleccionamos Protocolo TCP/IP-----> Propiedades-----> presionamos el botón de Opciones avanzadas----> escogemos la pestaña WINS-----> Deshabilitar NetBIOS, luego de seguir estos pasos, es necesario reiniciar el computador para que este tome el cambio de configuración. Referencias http://www.microsoft.com/spain/technet/seguridad/boletines/MS05-034-IT.mspx http://securitytracker.com/id/1014193 CRÉDITO Gracias a Microsoft para obtener información sobre este tema, que a su vez el crédito Steve Orrin de Watchfire con información sobre esta vulnerabilidad. Este documento fue escrito por Ken MacInnis. Otras referencias http://www.kb.cert.org/vuls/id/367077 https://www.us-cert.gov/ncas/alerts/TA14-017A Links de descarga:
Netbios - Descripción
MD5: 7572600b73febabaa145bb80d4cbb500
Dirección - Av. Amazonas N 40-71 y Gaspar de Villarroel Quito, Ecuador Teléfono - (+593) 22 272-179
EcuCERT
ecucert Centro de respuesta a incidentes informáticos del Ecuador
Llaves PGP/GPG
(+593) 22 272-179
Envíanos un Correo

Copyright © 2017 EcuCERT