Bloquee remotamente Windows 7, Vista, XP y Server 2008 con pantalla azul de la muerte

 Raymond  Actualizado hace 2 años  Seguridad  12 comentarios

Un sistema operativo Windows contiene aproximadamente de 40 a 50 millones de líneas de código y definitivamente hay errores de programación que pueden causar problemas en Windows, lo cual depende de expertos en seguridad o hackers para encontrar una puerta trasera explotable . Es por eso que es muy importante que una computadora que ejecuta el sistema operativo Windows, especialmente las que están conectadas a Internet, esté siempre actualizada con los parches o revisiones actuales para garantizar que sea estable y confiable.

Es reconfortante saber que cada versión más nueva de Windows es menos vulnerable a los ataques remotos que pueden bloquear la computadora con la pantalla azul de la muerte . De vuelta en Windows 95, hubo muchos tipos diferentes de ataques de denegación de servicio que pueden causar el bloqueo del sistema. Además, no muchos usuarios conocían la Actualización de Windows para verificar e instalar automáticamente las actualizaciones de seguridad en ese momento y la mayoría de estas herramientas de ataque son fáciles de usar para los principiantes al ingresar la dirección IP de la víctima . Incluso la herramienta de ataque más avanzada de Windows llamada Aggressor Exploit Generator tiene un modo simple que puede iniciar ataques NesTea, Suffer3, Boink, Land, OOB y Smurf desde Windows 95 con un clic del mouse.

Todas las herramientas DoS que pueden bloquear Windows 95 se corrigieron en Windows 98 pero luego era vulnerable a grandes paquetes IGMP. Un IGMP Nuker creado por Misoskian está disponible públicamente para que cualquier persona lo use para bloquear el sistema Windows 98 simplemente ingresando la dirección IP de la computadora remota.

Windows XP llegó más tarde, pero no se libró de los ataques nucleares también. Zamolx3 creó una herramienta de prueba de concepto para bloquear fácilmente Windows XP con la pantalla azul de la muerte enviando una solicitud SMB especialmente diseñada a una computadora XP simplemente especificando la dirección IP y el nombre de la computadora. Aunque SMBDie requiere una información adicional que es el nombre de NETBIOS, obtenerlo es bastante fácil al hacer ping a la dirección IP con un -a. De todos modos, las computadoras que ejecutan Windows XP sin ningún Service Pack instalado son vulnerables a este ataque.

La mayoría de la gente estaría de acuerdo en que Windows Vista no es muy estable, aunque la interfaz gráfica de usuario se ve bien. Está a salvo del ataque SMBDie, pero desafortunadamente el SMB2.0 más nuevo sufre de otra vulnerabilidad que puede causar un BSOD. Si la computadora de la víctima que ejecuta Windows Vista no tiene el parche instalado y el Firewall de Windows está deshabilitado, se presentará una pantalla azul con el error PAGE_FAULT_IN_NONPAGED_AREA causado por srv2.sys.

El script de ataque original está escrito en Python. Ejecutar el script en Windows es tan fácil como instalar ActivePython , edite el script para reemplazar el IP_ADDR con la dirección IP de la víctima, guarde los cambios y ejecútelo. Hay bastantes versiones binarias de Windows que son fáciles de usar, pero una que todavía está disponible es SMB2Nuke de www.illmob.org. De manera similar a la buena herramienta de WinNuke, simplemente ingrese la dirección IP de la víctima y haga clic en un botón para iniciar el ataque.

Un Windows Vista recién instalado que aún no se ha actualizado es definitivamente vulnerable al arma nuclear SMB 2.0, pero luego el Firewall de Windows que está activado por defecto puede protegerse contra el ataque. Puede descargar la actualización oficial MS09-050 de Microsoft Security TechCenter. Windows 7 está principalmente a salvo del ataque SMB2.0 porque solo se ve afectada la versión de Candidato de Liberación (RC).

Si bien existen vulnerabilidades de seguridad en cada versión de Windows, el sistema operativo es bastante seguro contra estos ataques, siempre y cuando no haya ninguna prueba de que el concepto se publique públicamente donde cualquiera pueda abusar de él. Hubo un caso en 2012 donde el investigador de seguridad Luigi Auriemma encontró una vulnerabilidad en Escritorio remoto. Otra persona se apoderó del código y lanzó su herramienta de prueba de concepto en una secuencia de comandos de Python que puede bloquear una computadora con Windows con habilitación de Escritorio remoto con pantalla azul de la muerte.

illmob.org hizo el ataque mucho más fácil de ejecutar a través de un programa ejecutable de Windows. Simplemente descargue, ejecute, ingrese la dirección IP de la computadora con Escritorio Remoto habilitado y haga clic en el botón "Desarmar!". La computadora de la víctima tendrá instantáneamente una pantalla azul que muestra un error con el archivo afectado termdd.sys. El archivo termdd.sys es un controlador de servidor de escritorio remoto, por lo que le da una pista de que la pantalla azul está causada por Escritorio remoto.

Windows XP, Vista y 7 son vulnerables al ataque MS12-020. Si su computadora no está completamente actualizada por alguna razón, puede descargar e instalar manualmente el parche MS12-020  del sitio web oficial de Microsoft.

Notas finales : Como puede ver, mantener actualizado su sistema operativo Windows es vital para prevenir ataques de vulnerabilidades conocidas. También deberá asegurarse de que el software de terceros siempre esté actualizado , y también es igualmente importante tener un buen software antivirus que proteja su computadora contra software malicioso.
Read More: https://www.raymond.cc/blog/smbv2-nuke-crashes-windows-vista-7-and-server-2008-with-bluescreen-of-death/

--

Msc. Jose Luis Suarez Martinez