 |
|
|
Um histórico completo das revisões pode ser encontrado ao final deste documento.
O CERT/CC está recebendo relatos de uma atividade amplamente disseminada, relacionada a um novo código malicioso conhecido como W32/Blaster. Este worm parece explorar vulnerabilidades conhecidas na Interface RPC (Remote Procedure Call) da Microsoft.
O worm W32/Blaster explora uma vulnerabilidade na interface DCOM RPC da Microsoft como descrito em VU#568148 e CA-2003-16. Após ter sido executado com sucesso, o worm tenta trazer uma cópia do arquivo msblast.exe da máquina previamente comprometida. Assim que este arquivo é trazido, o sistema que foi comprometido executa-o e inicia uma varruda procurando por outros sistemas vulneráveis para comprometê-los da mesma maneira. Durante o processo de propagação, uma sessão TCP na porta 135 é utilizada para executar o ataque. Entretanto, acessos às portas 139/TCP e 455/TCP também podem prover vetores de ataque e devem ser consideradas quando houver aplicação de estratégias para a redução de riscos. A Microsoft publicou informações sobre esta vulnerabilidade no "Microsoft Security Bulletin MS03-026".
Testes em laboratório confirmaram que o worm inclui a funcionalidade de lançar um ataque de negação de serviço do tipo TCP SYN flood contra o site windowsupdate.com. Nós estamos investigando as condições sob as quais este ataque pode se manifestar. A ocorrência de tráfego incomum ou inesperado para windowsupdate.com pode indicar uma infecção em sua rede, deste modo, você pode ter interesse em monitorar o tráfego de rede.
Os sites que não utilizam o windowsupdate.com para gerenciar correções podem desejar bloquear o tráfego de saída para windowsupdate.com. Na prática, isto pode ser difícil de ser realizado, pois o windowsupdate.com pode não resolver para o mesmo endereço todas as vezes. Para bloquear corretamente o tráfego para o windowsupdate.com é necessário um entendimento detalhado da arquitetura de roteamento de sua rede, das necessidades de gerenciamento dos sistemas e do ambiente de resolução de nomes. Você não deve bloquear o tráfego para windowsupdate.com sem um profundo entendimento de suas necessidades operacionais.
Nós estamos em contato com a Microsoft a respeito da possibilidade deste ataque de negação de serviço.
Um atacante remoto pode explorar estas vulnerabilidades para executar código arbitrário com os privilégios de "Local/System" ou causar uma condição de negação de serviço.
(NOTA: Instruções detalhadas para recuperação de sistemas Windows XP de uma contaminação pelo worm W32/Blaster podem ser encontradas no documento "W32/Blaster Recovery Tips")
Todos os usuários são encorajados a aplicar as correções descritas no "Microsoft Security Bulletin MS03-026", tão rápido quanto possível, para diminuir o risco da vulnerabilidade descrita na VU#568148. Estas correções também estão disponíveis através do serviço "Windows Update" da Microsoft.
Os sistemas que executam o Windows 2000 ainda podem estar vulneráveis a pelo menos um ataque de negação de serviço através da vulnerabilidade descrita em VU#326746, se seu serviço DCOM RPC estiver disponível através da rede. Deste modo, os sites são encorajados a utilizar as dicas de filtragem de pacotes abaixo em adição à aplicação das correções fornecidas no documento MS03-026.
Foram recebidas informações de que algumas máquinas afetadas não são capazes de permanecer conectadas à rede pelo tempo necessário para fazer o "download" das correções da Microsoft. Para as máquinas nesta situação, o CERT/CC recomenda o seguinte:
A Trend Micro, Inc. publicou uma lista com passos para cumprir estes objetivos. A Symantec também publicou uma lista com objetivos semelhantes.
Os sites são encorajados a bloquear, na borda de sua rede, o acesso para portas relevantes listadas a seguir. Isto pode minimizar o potencial de ataques de negação de serviço originados de fora de seu perímetro. Os serviços específicos que devem ser bloqueados incluem:
Os sites devem considerar o bloqueio tanto do tráfego de entrada quanto de saída para estas portas e, dependendo dos requisitos da rede, nos níveis de rede e de host. O ICF (Internet Connection Firewall) da Microsoft pode ser utilizado para cumprir estes objetivos.
Se o acesso não puder ser bloqueado para todas as máquinas externas, o CERT/CC recomenda limitá-lo apenas àquelas máquinas que necessitam o acesso para sua operação normal. Como regra geral, o CERT/CC recomenda filtrar todos os tipos de tráfego de rede que não são necessários para operação normal.
Como os "exploits" atuais para a vulnerabilidade VU#568148 criam um backdoor, que em alguns casos utiliza a porta 4444/TCP, o bloqueio de seções TCP de entrada para portas que não possuem serviços legítimos pode limitar o acesso de intrusos aos hosts comprometidos.
Se você acreditar que um sistema sob seu controle administrativo foi comprometido, por favor, siga os passos descritos em:
O CERT/CC está catalogando as atividades relacionadas a este worm com o identificador CERT#30479. Artefatos ou atividades relevantes podem ser enviados para cert@cert.org com o código CERT# apropriado na linha de assunto do email.
Este apêndice contém informações providas pelos próprios fornecedores. À medida que os fornecedores enviarem novas informações ao CERT/CC, este documento será atualizado e as modificações serão registradas no histórico de revisões. Se algum fornecedor em particular não estiver listado abaixo é porque não recebemos seus comentários.
Por favor, consulte o documento "Microsoft Security Bulletin MS03-026".
Nossos agradecimentos à Microsoft Corporation pela revisão e pelas informações fornecidas para este advisory.
Autores: Chad Dougherty, Jeffrey Havrilla, Shawn Hernan e Marty Lindner
O pessoal do CERT/CC atende ao hotline no período das 8:00 às 17:00h EST(GMT-5), de segunda a sexta-feira; nos demais períodos eles atendem em esquema emergencial, incluindo finais de semana e feriados dos Estados Unidos.
Nós recomendamos fortemente que informações sensíveis sejam criptogradas ao serem enviadas por email. Nossa chave pública PGP está disponível em:
Se voce preferir utilizar DES, por favor telefone para o hotline do CERT para obter maiores informações.
As publicações do CERT e outras informações sobre segurança estão disponíveis em nosso site:
Para inscrever-se na lista de advisories e boletins do CERT, envie um
email para majordomo@cert.org,
incluindo o seguinte no corpo da sua mensagem:
subscribe cert-advisory
* "CERT" and "CERT Coordination Center" are registered in the U.S. Patent and Trademark Office.
Translations of CERT/CC Advisories, (c) 2003 by Carnegie Mellon University, with special permission from the Software Engineering Institute.
Accuracy and interpretation of this translation are the responsibility of NBSO. The SEI has not participated in this translation.
NBSO shall ensure that all translated materials incorporate the CERT/CC logos, service marks, and/or trademarks, as well as a link to the original English version on the CERT web site (www.cert.org).
NBSO shall ensure that all translated materials are translated in their entirety and that the SEI will be notified of which CERT/CC Advisories are being translated. Notifications go to cert@cert.org.
NO WARRANTY. THIS CARNEGIE MELLON UNIVERSITY AND SOFTWARE ENGINEERING INSTITUTE MATERIAL IS FURNISHED ON AN "AS IS" BASIS. CARNEGIE MELLON UNIVERSITY MAKES NO WARRANTIES OF ANY KIND, EITHER EXPRESSED OR IMPLIED AS TO ANY MATTER INCLUDING, BUT NOT LIMITED TO, WARRANTY OF FITNESS FOR PURPOSE OR MERCHANTABILITY, EXCLUSIVITY OR RESULTS OBTAINED FROM USE OF THE MATERIAL. CARNEGIE MELLON UNIVERSITY DOES NOT MAKE ANY WARRANTY OF ANY KIND WITH RESPECT TO FREEDOM FROM PATENT, TRADEMARK, OR COPYRIGHT INFRINGEMENT.
CMU Indemnification. NBSO hereby agrees to defend, indemnify, and hold harmless CMU, its trustees, officers, employees, and agents from all claims or demands made against them (and any related losses, expenses, or attorney's fees) arising out of, or relating to NBSO's and/or its sublicensees' negligent use or willful misuse of or negligent conduct or willful misconduct regarding CMU in tellectual Property, facilities, or other rights or assistance granted by CMU under this Agreement, including, but not limited to, any claims of product liability, personal injury, death, damage to property, or violation of any laws or regulations. This indemnification will not apply to claims by third parties which allege that CMU Intellectual Property infringes on the intellectual property rights of such third parties, unless such infringement results from NBSO modifying CMU Intellectual Property or combining it with other intellectual property.
Disputes. This Agreement shall be governed by the laws of the Commonwealth of Pennsylvania. Any dispute or claim arising out of or relating to this Agreement will be settled by arbitration in Pittsburgh, Pennsylvania in accordance with the rules of the American Arbitration Association and judgment upon award rendered by the arbitrator(s) may be entered in any court having jurisdiction.
No Endorsement. The SEI and CMU do not directly or indirectly endorse NBSO work.
Translations of CMU/SEI copyrighted material are not official SEI-authorized translations. NBSO agrees to assign and transfer to CMU/SEI all copyrights in the translation of any CMU/SEI document.
This permission is granted on a non-exclusive basis for non-commercial purposes.
Copyright 2003 Carnegie Mellon University.
Histórico de Revisões
11 de agosto de 2003: Lançamento da versão inicial 12 de agosto de 2003: Atualizada seção com os passos para recuperação 12 de agosto de 2003: Adicionado o link para o documento "W32/Blaster Recovery Tips" 13 de agosto de 2003: Adicionados nomes de arquivos de variantes conhecidas às instruções para remoção 14 de agosto de 2003: Adicionada a porta 593/TCP à lista de portas a serem filtradas