[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Computo
DGSCA- UNAM
Nota de Seguridad UNAM-CERT 2003-008
Gusano W32.Blaster.Worm
------------------------------------------------------------------------
El *CERT/UNAM-CERT*, a través de sus equipos de respuesta a
incidentes de *Seguridad en Cómputo*, han emitido ésta Nota de
Seguridad en la cual se informa que se han recibido reportes de un
gran número de sistemas comprometidos en la redes .mx por un nuevo
gusano de Internet conocido como *W32.Blaster.Worm* o
*WORM_MSBLAST.A* que explota las vulnerabilidades recientes en el
archivo de la Interfaz RPC de Microsoft descritas en el Boletín de
Seguridad *UNAM-CERT 2003-019 "Explotación de vulnerabilidades en
Interface RPC de Microsoft" asi como en la Nota de Seguridad
UNAM-CERT 2003-006 "Código de Exploit Disponible para la
Vulnerabilidad de Servicios RPC de Microsoft".
Fecha de Liberación: 11 de Agosto de 2003
Ultima Revisión: * - - - - - *
Fuente: CERT/CC y diversos reportes de Equipos de
Respuesta a Incidentes.
SISTEMAS AFECTADOS
------------------
* Windows XP
* Windows 2000
DESCRIPCIÓN
-----------
El gusano *W32.Blaster.Worm* utiliza la vulnerabilidad RPC DCOM para
propagarse utilizando el puerto 135 TCP.
Primeramente busca un sistema vulnerable y obtiene un shell en el
puerto 4444 y lo utiliza para descarga el gusano via tftp. El
exploit es muy cercano a 'dcom.c' y no parece utilizar únicamente el
"universal Win2k".
El nombre del binario es *msblast.exe*. Este programa está
empaquetado con UPX (MSBLAST.EXE-09FF84F2.pf) y se auto extrae. El
tamaño del binario empaquetado y desempaquetado es de
aproximadamente 11 Kbytes y 6 Kbytes respectivamente.
La firma md5 del programa empaquetado es:
*MD5sum packed: 5ae700c1dffb00cef492844a4db6cd69 (6176 Bytes) *
IMPACTO
-------
Un intruso remoto podría explotar estas vulnerabilidades para
ejecutar código arbitrario con privilegios de la cuenta Local System
o causar una condición de negación de servicio.
El Gusano W32.Blaster.Worm usa la vulnerabilidad RPC DCOM como medio
de propagación. Una vez que encuentra un sistema vulnerable, este
abre una sesión (shell) a través del puerto 4444 y lo usa para bajar
el gusano vía aplicación tftp. El exploit por sí mismo es muy
parecido al programa 'dcom.c' y al momento solo afecta a plataformas
basadas en la arquitectura windows 2000 y XP.
Diversos reportes aún por confirmar reportan que en dicha
herramienta lanzará un ataque de tipo Synflood contra
windowsupdate.com el dia 16, afecatando a los equipos windows 2000 y
windows XP. A la fecha esto no ha sido corroborado y en estos
momentos UNAM-CERt se encuentra analizando estos reportes y en
comunicación permamente con el equipo de seguridad de Microsoft. en
cuanto se confirme/descarte esta información se mantendra una
actualización de este documento.
La secuencia de infección sobre los equipos es la siguiente:
1. Máquina fuente envia paquetes el puerto 135 TCP con algunas
variaciones del exploit descrito en la Nota de Seguridad
UNAM-CERT 2003-006 dcom.c a sus objetivos.
2. Esto provoca que en el equipo destino le otorgue una sesión
(shell) a través del puerto 4444.
3. La máquina fuente envía el comando tftp get a la máquina
destino usando el shell en el puerto 4444
4. La máquina destino se conecta vía tftp server al servidor
fuente, bajando con ello el exploit.
SOLUCIÓN
--------
* Eliminación Manual
1. Desconectar el sistema de la red.
2. Detener el proceso creado por el gusano denominado /msblast.exe/
mediante el *Administrador de Tareas de Windows*.
3. Eliminar la clave del Registro creada por el gusano:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. Eliminar el archivo binario (msblast.exe) y el archivo
empaquetado (MSBLAST.EXE-09FF84F2.pf) del sistema.
5. En Windows XP activar el /Servidor de Seguridad de conexión a
Internet (Internet Conexión Firewall)/.
* Inicio, Panel de Control, Conexiones de Red e Internet,
Conexiones de Red.
* Botón derecho del mouse la Conexión de Red de Área Local y
seleccionar Propiedades.
* En la pestaña de Avanzadas activar el cuadro de verificación
'Proteger mi equipo y mi red limitando o impidiendo el acceso
a él desde internet' y. dar clic en Aceptar.
6. TODOS los usuarios, sin excepción, deben aplicar las
actualizaciones mencionadas en el Boletín de Seguridad de Microsoft
MS03-026
<http://microsoft.com/technet/security/bulletin/MS03-026.asp> tan
pronto como sea posible con el objetivo de solucionar la
vulnerabilidad descrita en VU#568148
<http://www.kb.cert.org/vuls/id/568148>. Estas actualizaciones
también están disponibles mediante el servicio Windows Update
<http://windowsupdate.microsoft.com/> de Microsoft.
Estas vulnerabilidades están descritas en el Boletín de Seguridad
UNAM-CERT 2003-019
</Boletines/Boletines2003/boletin-UNAM-CERT-2003-019.html>,
Explotación de vulnerabilidades en Interface RPC de Microsoft y
en la Nota de Seguridad UNAM-CERT 2003-006
</Notas/Notas2003/nota-UNAM-CERT-2003-006.html>, Código de
Exploit Disponible para la Vulnerabilidad de Servicios RPC de
Microsoft para evitar volver a ser comprometidos por el gusano.
APÉNDICE A. Información de Distribuidores
-----------------------------------------
Este apéndice contiene información proporcionada por los
distribuidores de éste boletín. Si un distribuidor en particular
reporta nueva información al CERT/UNAM-CERT, esta sección será
actualizada.
* Microsoft <http://www.microsoft.com/>
Consulte el Boletín de Seguridad de Microsoft MS03-026
<http://microsoft.com/technet/security/bulletin/MS03-026.asp>.
APÉNDICE B. Distribuidores Antivirus
------------------------------------
Para obtener mayor información acerca del gusano W32.Blaster.Worm se
pueden consultar los siguientes sitios Web:
# http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
# http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100547
# http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A
# http://www.f-secure.com/v-descs/msblast.shtml
# http://www.hacksoft.com.pe/virus/w32_blaster.htm
# http://www.f-prot.com/news/vir_alert/msblast.html
# http://www.enciclopediavirus.com/virus/vervirus.php?id=497
# http://www.vsantivirus.com/lovsan-a.htm
APÉNDICE C. Referencias
-----------------------
* Boletín de Seguridad UNAM-CERT-2003-019 -
http://www.unam-cert.unam.mx/Boletines/Boletines2003/boletin-UNAM-CERT-2003-019.html
* Nota de Seguridad UNAM-CERT 2003-006 -
http://www.unam-cert.unam.mx/Notas/Notas2003/nota-UNAM-CERT-2003-006.html
* Nota de Vulnerabilidad del CERT/CC VU#561284 -
http://www.kb.cert.org/vuls/id/561284
* Nota de Vulnerabilidad del CERT/CC VU#326746 -
http://www.kb.cert.org/vuls/id/326746
* Boletín de Seguridad de Microsoft MS03-026 -
http://microsoft.com/technet/security/bulletin/MS03-026.asp
* Artículo 823980 de Microsoft Knowledge Base -
http://support.microsoft.com?kbid=823980
------------------------------------------------------------------------
El *Departamento de Seguridad en Cómputo/UNAM-CERT* agradece el
apoyo en las pruebas, elaboración y revisión de ésta Nota de
Seguridad a:
* Omar Hernández Sarmiento (oherna en seguridad unam mx
* Fernando Zaragoza Hernández (fzaragoz en seguridad unam mx
* Carlos Juárez Anguiano (cjuarez en seguridad unam mx
* Jesús R. Jiménez Rojas (jrojas en seguridad unam mx
------------------------------------------------------------------------
INFORMACIÓN
-----------
Éste documento se encuentra disponible en su formato original en la
siguiente dirección:
http://www.seguridad.unam.mx (espan~ol)
http://www.unam-cert.unam.mx (espan~ol)
Para mayor información acerca de éste boletín de seguridad contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : unam-cert en seguridad unam mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
- --
Juan Carlos Guel Lopez
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
DGSCA, UNAM E-mail: unam-cert en seguridad unam mx
Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43
Del. Coyoacan WWW: http://www.seguridad.unam.mx
04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQEVAwUBPzgi6nAvLUtwgRsVAQGHsAf9F6HEvT0FhrIDUCodKhI7dm3vu5XzWpJJ
gy9hsMABn4k3C4A++PESnSRe3KB3PicXSJwRf2TRqu+GBUPmwdIJNAVXuUQhr3g2
T/hAflF125de/uWsoteSjnXsD2bTUJ6Af3FRd+b2DZuqMb4/eCYEQr+fzX0TUZqk
ZDB4sll7IwdQ678468lmdRxZeIdVC5hOCxM1aYh9bJGEo0odn8YjdUjnAhSfGHNp
fzzceU7k4aJPYKluSaKsa1GYySuQxwZrWYWPS/BRlDPv+xPzC/bCnFxFTnpPuHKo
dYtLQETpEfC9LGxeo5eBdlUP0zK14BnRnRNI4bIs69xch4ylwlRL3Q==
=lTih
-----END PGP SIGNATURE-----
--
Lista de soporte de LinuxPPP
Dirección email: Linux en linuxppp com
Dirección web: http://mail.linuxppp.com/mailman/listinfo/linux
Reglas de la lista: http://linuxppp.net/reglas.html