 |
|
|
Um histórico completo das revisões pode ser encontrado ao final deste documento.
O CERT/CC está recebendo notificações de varreduras e explorações, amplamente disseminadas, de duas vulnerabilidades descobertas recentemente na Interface RPC (Remote Procedure Call) da Microsoft.
Notificações feitas ao CERT/CC indicam que intrusos estão ativamente realizando varreduras e explorando uma vulnerabilidade na interface DCOM RPC da Microsoft, como descrito nos documentos VU#568148 e CA-2003-16. Múltiplos "exploits" para esta vulnerabilidade foram divulgadoss publicamente e há um ativo desenvolvimento de ferramentas melhoradas e automatizadas para explorar esta vulnerabilidade. "Exploits" conhecidos atacam a porta 135/TCP e criam, nos hosts comprometidos com sucesso, um "backdoor" com uma "shell" privilegiada de comandos. Algumas versões do "exploit" utilizam a porta 4444/TCP para o backdoor, enquanto outras versões utilizam um número de porta TCP especificada pelo intruso em tempo de execução. Nós também recebemos notificações de atividades de varredura em busca de portas comuns de backdoor, como a 4444/TCP. Em alguns casos, devido ao término do serviço RPC, um sistema comprometido pode reinicializar após o "backdoor" ser acessado por um intruso.
Parece haver uma vulnerabilidade de negação de serviço à parte, na interface RPC da Microsoft, que também está sendo atacada. Com base em informações atuais, nós acreditamos que esta vulnerabilidade é separada e independente da vulnerabilidade RPC discutida no MS03-026. O CERT/CC está referenciando esta vulnerabilidade adicional como VU#326746 e está trabalhando continuamente para entender o problema e as estratégias para sua mitigação. O código que explora esta vulnerabilidade foi divulgado publicamente e também ataca a porta 135/TCP.
Nos dois ataques descritos acima, uma sessão TCP para a porta 135 é utilizada para executar o ataque. Entretando, o acesso às portas TCP 139 e 445 também pode prover vetores de ataque e deve ser considerado quando estratégias de mitigação forem aplicadas.
Um atacante remoto pode explorar estas vulnerabilidades para executar código arbitrário com os privilégios de "Local/System" ou causar uma condição de negação de serviço.
Todos os usuários são encorajados a aplicar as correções descritas no "Microsoft Security Bulletin MS03-026", tão rápido quanto possível, para diminuir o risco da vulnerabilidade descrita na VU#568148. Estas correções também estão disponíveis através do serviço "Windows Update" da Microsoft.
Os sistemas que executam o Windows 2000 ainda podem estar vulneráveis a pelo menos um ataque de negação de serviço através da vulnerabilidade descrita em VU#326746, se seu serviço DCOM RPC estiver disponível através da rede. Deste modo, os sites são encorajados a utilizar as dicas de filtragem de pacotes abaixo em adição à aplicação das correções fornecidas no documento MS03-026.
Os sites são encorajados a bloquear, na borda de sua rede, o acesso ao serviço RPC. Isto pode minimizar o potencial de ataques de negação de serviço originados de fora de seu perímetro. Os serviços específicos que devem ser bloqueados incluem:
Se o acesso não puder ser bloqueado para todas as máquinas externas, o CERT/CC recomenda limitá-lo apenas àquelas máquinas que necessitam o acesso para sua operação normal. Como regra geral, o CERT/CC recomenda filtrar todos os tipos de tráfego de rede que não são necessários para operação normal.
Como os "exploits" atuais para a vulnerabilidade VU#568148 criam um backdoor, que em alguns casos utiliza a porta 4444/TCP, o bloqueio de seções TCP de entrada para portas que não possuem serviços legítimos pode limitar o acesso de intrusos aos hosts comprometidos.
Se você acreditar que um sistema sob seu controle administrativo foi comprometido, por favor, siga os passos descritos em:
O CERT/CC está catalogando as atividades relacionadas com a primeira vulnerabilidade (VU#568148) como CERT#27479 e aquelas relacionadas com a segunda vulnerabilidade (VU#326746) como CERT#24523. Artefatos ou atividades relevantes podem ser enviados para cert@cert.org com o código CERT# apropriado na linha de assunto do email.
Este apêndice contém informações providas pelos próprios fornecedores. À medida que os fornecedores enviarem novas informações ao CERT/CC, este documento será atualizado e as modificações serão registradas no histórico de revisões. Se algum fornecedor em particular não estiver listado abaixo é porque não recebemos seus comentários.
Por favor, consulte o documento "Microsoft Security Bulletin MS03-026".
Autores: Chad Dougherty e Kevin Houle
O pessoal do CERT/CC atende ao hotline no período das 8:00 às 17:00h EST(GMT-5), de segunda a sexta-feira; nos demais períodos eles atendem em esquema emergencial, incluindo finais de semana e feriados dos Estados Unidos.
Nós recomendamos fortemente que informações sensíveis sejam criptogradas ao serem enviadas por email. Nossa chave pública PGP está disponível em:
Se voce preferir utilizar DES, por favor telefone para o hotline do CERT para obter maiores informações.
As publicações do CERT e outras informações sobre segurança estão disponíveis em nosso site:
Para inscrever-se na lista de advisories e boletins do CERT, envie um
email para majordomo@cert.org,
incluindo o seguinte no corpo da sua mensagem:
subscribe cert-advisory
* "CERT" and "CERT Coordination Center" are registered in the U.S. Patent and Trademark Office.
Translations of CERT/CC Advisories, (c) 2003 by Carnegie Mellon University, with special permission from the Software Engineering Institute.
Accuracy and interpretation of this translation are the responsibility of NBSO. The SEI has not participated in this translation.
NBSO shall ensure that all translated materials incorporate the CERT/CC logos, service marks, and/or trademarks, as well as a link to the original English version on the CERT web site (www.cert.org).
NBSO shall ensure that all translated materials are translated in their entirety and that the SEI will be notified of which CERT/CC Advisories are being translated. Notifications go to cert@cert.org.
NO WARRANTY. THIS CARNEGIE MELLON UNIVERSITY AND SOFTWARE ENGINEERING INSTITUTE MATERIAL IS FURNISHED ON AN "AS IS" BASIS. CARNEGIE MELLON UNIVERSITY MAKES NO WARRANTIES OF ANY KIND, EITHER EXPRESSED OR IMPLIED AS TO ANY MATTER INCLUDING, BUT NOT LIMITED TO, WARRANTY OF FITNESS FOR PURPOSE OR MERCHANTABILITY, EXCLUSIVITY OR RESULTS OBTAINED FROM USE OF THE MATERIAL. CARNEGIE MELLON UNIVERSITY DOES NOT MAKE ANY WARRANTY OF ANY KIND WITH RESPECT TO FREEDOM FROM PATENT, TRADEMARK, OR COPYRIGHT INFRINGEMENT.
CMU Indemnification. NBSO hereby agrees to defend, indemnify, and hold harmless CMU, its trustees, officers, employees, and agents from all claims or demands made against them (and any related losses, expenses, or attorney's fees) arising out of, or relating to NBSO's and/or its sublicensees' negligent use or willful misuse of or negligent conduct or willful misconduct regarding CMU in tellectual Property, facilities, or other rights or assistance granted by CMU under this Agreement, including, but not limited to, any claims of product liability, personal injury, death, damage to property, or violation of any laws or regulations. This indemnification will not apply to claims by third parties which allege that CMU Intellectual Property infringes on the intellectual property rights of such third parties, unless such infringement results from NBSO modifying CMU Intellectual Property or combining it with other intellectual property.
Disputes. This Agreement shall be governed by the laws of the Commonwealth of Pennsylvania. Any dispute or claim arising out of or relating to this Agreement will be settled by arbitration in Pittsburgh, Pennsylvania in accordance with the rules of the American Arbitration Association and judgment upon award rendered by the arbitrator(s) may be entered in any court having jurisdiction.
No Endorsement. The SEI and CMU do not directly or indirectly endorse NBSO work.
Translations of CMU/SEI copyrighted material are not official SEI-authorized translations. NBSO agrees to assign and transfer to CMU/SEI all copyrights in the translation of any CMU/SEI document.
This permission is granted on a non-exclusive basis for non-commercial purposes.
Copyright 2003 Carnegie Mellon University.
Histórico de Revisões
31 de julho de 2003: Lançamento da versão inicial