Hablando de mensajeria de windows, hispasec en "una al dia" habla hoy del tema (mas abajo podeis leer el articulo)
Dalton Cybermani@ C/ Cronista Vte. Beguer Esteve, 8 - B 46900 Torrent (Valencia) SPAIN Tel. 96 108 18 56 E-mail: [EMAIL PROTECTED] http://www.cybermania-torrent.com Canal [EMAIL PROTECTED] de IRC-HISPANO ----- Original Message ----- From: <[EMAIL PROTECTED]> Sent: Friday, February 28, 2003 2:45 AM Subject: una-al-dia (28/02/2003) Nueva forma de spam a trav�s de mensajes emergentes de Windows -----BEGIN PGP SIGNED MESSAGE----- ------------------------------------------------------------------- Hispasec - una-al-d�a 28/02/2003 Todos los d�as una noticia de seguridad www.hispasec.com ------------------------------------------------------------------- Nueva forma de spam a trav�s de mensajes emergentes de Windows -------------------------------------------------------------- Se popularizan algunas nuevas herramientas para el env�o de spam utilizando el servicio Messenger de Windows. Explicamos como funcionan y que medidas de protecci�n debemos utilizar. El servicio Messenger (no confundir con el Microsoft Messenger o el MSN Messenger ni con ning�n programa de navegaci�n web o lectura de correo electr�nico) es un servicio de los sistemas operativos de la familia Windows que implementa un sencillo sistema de env�o de mensajes y avisos entre las m�quinas conectadas en la red local. Inicialmente el servicio Messenger fue incorporado en los primeros sistemas operativos de red basados en NetBIOS (OS/2 y las primeras versiones de Windows) y estaba pensado para permitir a los administradores de red enviar notificaciones a los usuarios, por ejemplo cuando era preciso detener el servidor. Otros programas que utilizan este servicio de forma legitima son los controladores de impresi�n (para avisar de la finalizaci�n de un trabajo de impresi�n), los sistemas de alimentaci�n ininterrumpida, los antivirus y otros programas que necesitan un mecanismo simple de notificaci�n de un evento. Cuando el servicio est� activo (y en todas las versiones de Windows lo est� en la configuraci�n por defecto), cualquier usuario puede enviar un mensaje emergente a otra estaci�n de la red ejecutando, en una ventana DOS, la orden NET SEND con los par�metros adecuados. Adem�s, los programas disponen de la API NetMessageBufferSend para automatizar el env�o de estos mensajes. Durante los �ltimos meses del a�o pasado empezaron a circular diversos programas pensados para utilizar este servicio de Windows como un nuevo m�todo para la difusi�n masiva de mensajes comerciales. Algunos de estos programas han llegado, incluso, a ser anunciados en televisi�n como una nueva herramienta de m�rketing en Internet. Estos programas est�n pensados para automatizar el env�o masivo de los mensajes, sin que el spammer tenga que preocuparse de otra cosa que escribir el texto del spam. Como nos llegan estos mensajes Los mensajes emergentes utilizan el protocolo NetBIOS, por lo que cuando circulan por una red TCP/IP utilizan los puertos udp/137 y tcp/139. Este es el mecanismo habitual de transmisi�n para los mensajes enviados mediante un NET SEND o la API NetMessageBufferSend. No obstante, los programas de automatizaci�n de este tipo de spam utilizan un m�todo diferente de env�o mediante el servicio RPC (Remote Procedure Call, Llamada de procedimiento remoto) de NetBIOS, que est� asociado al puerto udp/135. Los mensajes se presentan en una ventana de Windows, con el t�tulo "Messenger Service" o "Mensajer�a de Windows", con el texto del mensaje y un bot�n Aceptar. Al pulsar el bot�n, la ventana se cierra. Medidas de protecci�n En primer lugar es importante indicar que el simple hecho de recibir un mensaje de este tipo no s�lo muestra que estamos expuestos a la recepci�n de este tipo de publicidad. En realidad no est� revelando un importante problema de seguridad en nuestra m�quina, ya que est� admitiendo conexiones NetBIOS desde Internet. Por tanto, la primera acci�n a realizar consiste en verificar las medidas de seguridad perimetrales existentes, a nivel de cortafuegos y routers. Debemos comprobar que se est� bloqueando cualquier tr�fico con origen Internet y destino la red interna que utilice cualquiera de los puertos asociados a NetBIOS: udp/135, udp/137-139, udp 445, tcp/137- 139 y tcp/445. Los usuarios de cortafuegos personales deben verificar, adicionalmente, los permisos asignados a los ejecutables utilizados en las comunicaciones RPC (svchost.exe y services.exe) para comprobar que no se permite la recepci�n de tr�fico NetBIOS con origen Internet y destino hacia estos archivos ejecutables. No existe ninguna raz�n que justifique la utilizaci�n de NetBIOS como m�todo de acceso remoto a la red corporativa de una empresa o a los ordenadores de un usuario particular. Como medida de protecci�n adicional, podemos desactivar el servicio en las m�quinas para evitar la recepci�n de estos mensajes emergentes, siguiendo estas instrucciones. * Windows 95/98/ME A diferencia de los sistemas operativos derivados de Windows NT, la �nica forma de desactivar la recepci�n de estos mensajes pasa por desactivar completamente el soporte de NetBIOS. Si no desea desactivar este soporte, la �nica opci�n que tenemos es la instalaci�n de un cortafuegos personal que bloquee el tr�fico NetBIOS que provenga de Internet. Acceder al Panel de Control ("Mi PC", "Panel de control") y hacer doble clic sobre el icono "Red". En la pesta�a "Configuraci�n" hacer clic en el bot�n "Compartir archivos e impresoras...". Verificar que las dos opciones, "Permitir que otros usuarios tengan acceso a mis archivos" y "Permitir que otros usuarios impriman con mis impresoras" est�n desactivadas. Pulsar Aceptar. De nuevo en la pesta�a "Configuraci�n", seleccionar el protocolo TPC/IP asociado a la tarjeta de red o al m�dem/router que utilizamos para la conexi�n a Internet. Hacer clic en el bot�n "Propiedades". En la ventana "Propiedades de TCP/IP", seleccionar la pesta�a "Enlaces" y deseleccionar la opci�n "Cliente para redes Microsoft". Pulsar en "Aceptar" y "Aceptar". A continuaci�n ser� preciso reiniciar la m�quina. * Windows NT 4.0 Ir a "Inicio", "Configuraci�n", "Panel de control". Hacer doble clic sobre el icono "Servicios". Buscar el servicio "Mensajer�a" ("Messenger" en las versiones en ingl�s). Si est� iniciado, pulsar el bot�n "Detener" para detenerlo. A continuaci�n pulsar el bot�n "Inicio..." y cambiar el tipo de inicio del servicio: "Deshabilitado". Pulsar en "Aceptar" y en "Cerrar". * Windows 2000 Ir a "Inicio", "Programas", "Herramientas administrativas" y "Servicios". Buscar el servicio "Mensajer�a" y seleccionarlo. Pulsar el bot�n derecho del rat�n y seleccionar "Propiedades". Pulsar el bot�n "Detener" para detener el servicio. A continuaci�n, cambiar el tipo de inicio a "Deshabilitado". Pulsar en "Aceptar" y cerrar la ventana de servicios. * Windows XP Ir a "Inicio", "Panel de Control". Entrar en el apartado de "Rendimiento y mantenimiento" y hacer doble clic sobre el icono "Servicios". Buscar el servicio "Mensajer�a" y seleccionarlo. Pulsar el bot�n derecho del rat�n y seleccionar "Propiedades". Pulsar el bot�n "Detener" para detener el servicio. A continuaci�n, cambiar el tipo de inicio a "Deshabilitado". Pulsar en "Aceptar" y cerrar la ventana de servicios. Una vez desactivado el servicio de mensajer�a podemos verificar que nuestro ordenador ya no puede recibir este tipo de mensajes utilizando el servicio de verificaci�n existente en http://www.mynetwatchman.com/winpopuptester.asp Opina sobre esta noticia: http://www.hispasec.com/unaaldia/1587/comentar M�s informaci�n Messenger Pop-up Spam makes us sick http://www.theregister.co.uk/content/55/29121.html Messenger Service Window That Contains an Internet Advertisement Appears http://support.microsoft.com/default.aspx?scid=kb;en-us;330904 Stopping Advertisements with Messenger Service Titles http://www.microsoft.com/windowsxp/pro/using/howto/communicate/stopspam.asp Stop Messenger Spam http://www.stopmessengerspam.com/ Windows Messenger Delivery options: SMB vs MS RPC http://www.mynetwatchman.com/kb/security/articles/popupspam/netsend.htm DirectAdvertiser, the newest technology in online marketing http://www.directadvertiser.com/ myNetWatchman - WinPopUp Tester http://www.mynetwatchman.com/winpopuptester.asp Windows Messenger is new spam vector http://www.theregister.co.uk/content/archive/27634.html Pop-up Spam in Windows Systems? Here's How to Stop http://www.lbl.gov/ITSD/CIS/compnews/2002/October/09-popup-spam.html WonderPopUp - A New Method for Spam http://spam-stopper.net/wonderpopup.html El Nuevo SPAM ya es un gran negocio http://www.vsantivirus.com/spam-mensajeria.htm Stop Messenger Spam 1.0 http://www.stopmessengerspam.com/sms1_released/sms1_released1.html Xavier Caball� [EMAIL PROTECTED] Tal d�a como hoy: ----------------- 28/02/2002: Vulnerabilidad en la subida de archivos de PHP http://www.hispasec.com/unaaldia/1222 28/02/2001: Una URL puede provocar un fallo en un servicio de IIS 5 y Exchange 2000 http://www.hispasec.com/unaaldia/857 28/02/2000: Las facturas de los abonados de Telef�nica accesibles por Internet http://www.hispasec.com/unaaldia/489 28/02/1999: Netscape afectado por la falsificaci�n de ventanas http://www.hispasec.com/unaaldia/124 ------------------------------------------------------------------- Claves PGP en http://www.hispasec.com/directorio/contacto ------------------------------------------------------------------- Bajas: mailto:[EMAIL PROTECTED] Altas: mailto:[EMAIL PROTECTED] ------------------------------------------------------------------- (c) 2003 Hispasec http://www.hispasec.com/copyright ------------------------------------------------------------------- -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.2 iQCVAwUBPl6ewutaAupcB1VZAQEpuwP/bORMDbG5NWIlcRXfsGMT6NK4UFQvfNGv HvEteuBgyg1kEMAnjkMezJyBekhIqzEuDkveS5xi6PMDGpC3bCFgwPuneOeyyrUG BprzvIghOpV7TNSAURmYvbsmmZ8UO7H31lqyhzvEmAHCAycMMSfY34lq+j84rvna SRBIbot1PcA= =SxlU -----END PGP SIGNATURE----- _______________________________________________ llista de correu de l'Internauta [EMAIL PROTECTED] http://zeus.internauta.net/mailman/listinfo/internauta
