No era exactamente un exploit, vos estás hablando del virus BLASTER y el SASSER.
Aprovechaban una vulnerabilidad en el programa Lsass.exe, un programa nativo de MS/Windows.
Para una mejor explanatoria, extraigo parte del boletín de seguridad de Microsoft respecto a este tema:
MS04-011 Actualización crítica de Windows (835732)
Esta actualización resuelve nuevas y severas vulnerabilidades descubiertas en las distintas versiones de Windows. Un atacante puede explotar las más severas de ellas, para tomar el control total del equipo afectado, incluyendo la instalación de programas; visualización, cambio o borrado de datos; o para crear nuevas cuentas de usuario con todos los privilegios.
Nivel de gravedad: Crítico
Impacto: Ejecución remota de código
Fecha revisión: 13 de abril de 2004
Software afectado:
Microsoft Windows NT Workstation 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Terminal Server Edition SP6
Microsoft Windows 2000 SP2, SP3 y SP4
Microsoft Windows XP y Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition Service Pack 1
Microsoft Windows XP 64-Bit Edition Version 2003
Microsoft Windows Server 2003
Microsoft Windows Server 2003 64-Bit Edition
Microsoft NetMeeting
No son afectados
Microsoft Windows 98
Microsoft Windows 98 Second Edition (SE)
Microsoft Windows Millennium Edition (ME)
Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no son soportadas por Microsoft.
Esta actualización no es acumulativa, por lo tanto no reemplaza actualizaciones anteriores, salvo las siguientes:
MS99-023 (NT4), MS00-027 (2000), MS00-032 (2000), MS00-070 (2000), MS02-050 (NT4), MS02-051 (2000), MS02-071 (NT4 y 2000), MS03-007 (2000), MS03-013 (NT4 y 2000), MS03-025 (2000), MS03-041 (NT4), MS03-045 (NT4 y 2000),
MS04-007 (NT4, 2000, XP y Server 2003).
Descripción
Este parche cubre 14 importantes vulnerabilidades que han sido descubiertas en diversos componentes de Windows.
El proceso LSASS (Local Security Authority Subsystem), controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema. La naturaleza de esta vulnerabilidad, se presta a ser explotada por un gusano o virus informático, capaz de propagarse por las redes.
Una vulnerabilidad existente en el componente LDAP, permite a un atacante enviar un mensaje LDAP especialmente modificado para provocar una denegación de servicio. LDAP (Lightweight Directory Access Protocol) es un protocolo estándar de la industria que habilita a usuarios autorizados a consultar o modificar datos en un meta directorio (por ejemplo el directorio activo de Windows 2000).
Un desbordamiento de búfer en el protocolo PCT (Private Communications Transport), parte de la librería de autenticación Microsoft Secure Sockets Layer (SSL), puede ser explotada por un atacante para tomar el control del sistema afectado. Solo son vulnerables sistemas con SSL habilitado, y en algunos casos controladores de dominio de Windows 2000.
La librería ASN.1 (Abstract Syntax Notation One), proporciona la capacidad de codificar y decodificar datos, normalizando los procedimientos usados para la comunicación entre distintos componentes a través de diferentes plataformas. En las versiones afectadas, esta versión de la librería, contiene una vulnerabilidad denominada "double-free", que ocasiona la corrupción de la memoria cuando se procesa una entrada maliciosamente modificada. Aunque esto permite la ejecución arbitraria de código, es muy difícil de implementar para que se ejecute automáticamente o con éxito. Este fallo es diferente al ya descrito y solucionado en el parche MS04-007 de febrero de 2004 (ver "MS04-007 ASN.1 de Windows: Ejecución de código (828028)",
Necesitas ser usuario para ver los enlaces
Crear Usuario Hacer Sesion).
La interfase de negociación SSP es utilizada por Windows para determinar los métodos de autenticación sostenidos por ambos lados de una transacción antes de la verdadera autenticación. Las versiones vulnerables de esta interfase, no comprueban debidamente los valores de ciertos parámetros, lo que permite la corrupción de la memoria cuando se procesan datos maliciosamente construidos. Aunque esta vulnerabilidad se podría emplear para ejecutar código en forma arbitraria, en la práctica, la mayoría de las veces sólo puede ser explotada para crear una condición de denegación de servicio (DoS).
Otras vulnerabilidades cubiertas, corresponden al proceso Winlogon, al manejo de imágenes con formatos Windows Metafile (WMF) y Enhanced Metafile (EMF), al Centro de ayuda y soporte técnico, al Utility Manager, al Windows Management (creación y manejo de tareas en Windows XP), a la LDT (Local Descriptor Table), al protocolo H.323 en Netmeeting, y al Virtual DOS Machine. Todas ellas pueden ser explotadas para la ejecución de código, denegación de servicio, o incluso para la toma total del control en el equipo afectado.
Parches:
Los parches pueden descargarse de los siguientes enlaces:
Microsoft Windows NT Workstation 4.0 Service Pack 6a
Necesitas ser usuario para ver los enlaces
Crear Usuario Hacer Sesion7F1713FC-F95C-43E5-B825-3CF72C1A0A3E&displaylang=es
Microsoft Windows NT Server 4.0 Service Pack 6a
Necesitas ser usuario para ver los enlaces
Crear Usuario Hacer Sesion67A6F461-D2FC-4AA0-957E-3B8DC44F9D79&displaylang=es
Microsoft Windows NT Server 4.0 Terminal Server Edition SP6
Necesitas ser usuario para ver los enlaces
Crear Usuario Hacer SesionÇ62CBA527-A827-4777-8641-28092D3AAE4F&displaylang=es
Microsoft Windows 2000 SP2, SP3 y SP4
Necesitas ser usuario para ver los enlaces
Crear Usuario Hacer Sesion0692C27E-F63A-414C-B3EB-D2342FBB6C00&displaylang=es
Microsoft Windows XP and Microsoft Windows XP Service Pack 1
Necesitas ser usuario para ver los enlaces
Crear Usuario Hacer Sesion3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=es
Microsoft Windows XP 64-Bit Edition Service Pack 1
Necesitas ser usuario para ver los enlaces
Crear Usuario Hacer SesionC6B55EF2-D9FE-4DBE-AB7D-73A20C82FF73&displaylang=en
Microsoft Windows XP 64-Bit Edition Version 2003
Necesitas ser usuario para ver los enlaces
Crear Usuario Hacer SesionC207D372-E883-44A6-A107-6CD2D29FC6F5&displaylang=en
Microsoft Windows Server 2003
Necesitas ser usuario para ver los enlaces
Crear Usuario Hacer SesionEAB176D0-01CF-453E-AE7E-7495864E8D8C&displaylang=es
Microsoft Windows Server 2003 64-Bit Edition
Necesitas ser usuario para ver los enlaces
Crear Usuario Hacer SesionC207D372-E883-44A6-A107-6CD2D29FC6F5&displaylang=en
Nota:
Antes de instalar estos parches verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta.
Más información:
Microsoft Security Bulletin MS04-011
Necesitas ser usuario para ver los enlaces
Crear Usuario Hacer Sesionwww.microsoft.com/technet/security/bulletin/ms04-011.mspx
Microsoft Knowledge Base Article - 835732
Necesitas ser usuario para ver los enlaces
Crear Usuario Hacer SesionEDITADO: Te dejo el reporte completo. Ahí tenés una explicación del funcionamiento del error.
Saludos.
Autor