Comparticion de archivos global y comparticion de informacion
 inapropiada mediante NetBIOS y los puertos 135 -> 139 en
 Windows NT (445 en Windows 2000); exports de NFS en Unix
 (puerto 2049), comparticion via web en Macintosh y Appleshare/IP
 en los puertos 80, 427 y 548.
 

Todos estos servicios permiten la comparticion de archivos en redes.  Cuando son configurados de forma inapropiada, pueden exponer archivos de sistema criticos o incluso permitir un acceso completo al sistema de archivos a cualquiera que este conectado en la red. Muchos propietarios de ordenadores y administradores utilizan estos servicios para permitir que sus sistemas de archivos sean visibles (en modalidad de lectura y/o escritura) en un intento de hacer mas conveniente el acceso a los datos.  Los administradores de un sistema del gobierno de los EE.UU. dedicado al desarrollo de software para la planificacion de misiones lo configuraron de tal forma que cualquiera pudiera leer los archivos, de forma que los companeros de otros edificios tuvieran un facil acceso a la informacion. Solo dos dias despues, otras personas habian descubierto esta comparticion abierta y robaron el software de planificacion de misiones.

Cuando la comparticion de archivos se encuentra activada en las maquinas Windows, estas son vulnerables al robo de informacion y a los efectos de determinados tipos de virus de rapida difusion.  Un virus recientemente publicado, denominado "911 Worm" utiliza la comparticion de archivos de los sistemas Windows 95 y 98 para propagarse y hace que el ordenador infectado utilice su modem para llamar al numero de emergencias (911 en EE.UU.). Los ordenadores Macintosh son tambien vulnerables a los ataques de la comparticion de archivos. 

El mismo mecanismo NetBIOS que permite la comparticion de archivos en Windows puede ser utilizado para obtener informacion sensible de los sistemas NT.  Mediante la utilizacion de una "sesion nula" al servicio de sesion NetBIOS, se puede obtener informacion sobre los usuarios y grupos (nombre de usuario, fecha de la ultima conexion, politica de contrasenas, informacion de acceso remoto), informacion sobre el sistema y determinadas entradas del registro. Esta informacion es habitualmente utilizada para organizar un ataque de fuerza bruta para determinar contrasenas, o bien una simple prueba de diversas contrasenas.

Sistemas afectados:
Sistemas UNIX, Windows y Macintosh.

Registro CVE:
Comparticiones SMB con un escaso control de acceso - CAN-1999-0520
Exports de NFS para todos - CAN-1999-0554

Estos registros candidatos seran, con toda probabilidad, ampliamente modificados antes de ser aceptados como registros CVE.

Consejos para la resolucion del problema:

• Cuando se comparten discos montados, verificar que unicamente los directorios necesarios son compartidos.
   
• Para mayor seguridad, permitir solo la comparticion a direcciones IP especificas, dado que los nombres de DNS pueden ser suplantados.
   
• En los sistemas Windows, verificar que todas las comparticiones estan protegidas mediante contrasenas fuertes.
   
• En los sistemas Windows NT prevenir la enumeracion anonima de usuarios, grupos, configuracion del sistema y valores del registro mediante una conexion anonima.
  
  Bloquear las conexiones entrantes al servicio de sesion NetBIOS (puerto tcp 139) en el direccionador o en la maquina NT.
  
  Considerar la implantacion de la clave del registro RestrictAnonymous en aquellos sistemas independientes o en dominios no confiables y que esten conectados a Internet:
  NT 4:
  http://support.microsoft.com/support/kb/articles/Q143/4/74.asp
  Windows 2000:
  http://support.microsoft.com/support/kb/articles/Q246/2/61.ASP
   
• En los sistemas Macintosh, deshabilitar las extensiones de comparticion de archivos y comparticion web si no son realmente necesarios.  Si la comparticion de archivos debe estar activar, verificar la utilizacion de contrasenas fuertes para el acceso y detener la comparticion de archivos cuando no se utilice.
  
  Para desactivar de forma permanente la comparticion web en MacOS 8 y MacOS 9, borrar los archivos y reiniciar:
  
  Carpeta del sistema:Paneles de control:Compartir web
  Carpeta del sistema:Extensiones:Extension compartir web
  
  Para deshabilitar permanentemente AppleShare/IP en MacOS 9, borrar el siguiente archivo y reiniciar la maquina:
  
  Carpeta del sistema:Extensiones:Shareway IP Personal Subord.
   
• Existe un test rapido, seguro y gratuito para determinar si la comparticion de archivos NetBIOS y las vulnerabilidades asociadas estan presentes. Este test puede realizarse desde CUALQUIER sistema operativo y se encuentra en la pagina web de Gibson Research Corporation. Solo es necesario acceder a la pagina http://grc.com y hacer clic en el icono "ShieldsUP" para recibir un informe, en tiempo real, de cualquier vulnerabilidad NetBIOS accesible desde Internet. Se incluyen instrucciones detalladas para ayudar a los usuarios de Microsoft Windows en la eliminacion de estas vulnerabilidades.

[Pagina Inicial] [Soluciones] [Socios] [Informes] [Ofertas de Empleo] [Contacto]

© Copyright The Sans Institute, 2000-2001
© Copyright 2000-2001 de la traduccion, Selesta Seguridad Informatica