[Articulo] Blaster-Sasser: nuevos sistemas de INTRUSION. Planteamiento y solucio

04/05/2004 - 14:02 por Iluminada | Informe spam
Courtesy of the MVP Spanish
Jose Manuel Tella Llop
MVP - Windows
jmtella@compuserve.com

The world must know the threats that us deliberately hide
to us.

Will be published translated


SOBRE LAS NUEVAS MANERAS DE EXTRAER INFORMACION DE
NUESTRAS MAQUINAS


Este artciulo viene a colación de las diversas
desinformacion que se están dando, y se dieron en el
pasado "a proposito" en algunos medios de comunicacion con
respecto a vulnerabilidades, virus, gusanos, del estilo
Blaster, y en la actualidad del Sasster.

Quiero orientar el articulo, fundamentalmente a los
usuarios domesticos. En el ambito empresarial es otra
historia, ya que las empresas tienen sus propios
mecanismos de seguridad, al igual que personal
especializado que juzgaran en cada caso, las fuga de
informacion y la manera de atajarla así como los medios a
poner para resolver el problema. En estos ultimos casos,
la casuistica debe ser estudiada con detalle.

INTRODUCCION:
-

Pero a nivel domestico, tenemos una pregunta que hacernos:
¿es necesario formatear el equipo ante la entrada de uno
de estos gusanos?.

Esta es la pregunta formulada en terminos clasicos.
Cualquier experto en informatica os respondera
inmediatamente: ESTA REALMENTE MAL FORMULADA LA PREGUNTA.


La pregunta correcta debería ser: En caso de una intrusion
fuerte, seria, en manos de millones de delincuentes -
script-kiddies- ¿debo formatear? ¿que mas accciones de
seguridad y para proteger mis datos debo tomar?


Antes de nada, vamos a definir el termino script-kiddie:
niños idiotas en castellano. Es gente sin o con poco
conocimiento de informatica, dedicados al vandalismo, y
que se dedican a modificar, realizando un pequeño conjunto
de comandos -script- un exploit (programa malicioso para
explotar una vulnerabilidad) al objeto de conquistar una
maquina y hacer en ella las acciones que hayan pensado
para su "script".

Esto es tan peligroso... que no hay una norma general de
que es lo que hacen. Se sabe lo que pueden hacer. Pero
cada uno será diferente al anterior.


ANTECEDENTES Y EXPLOITS AL ALCANCE DEL "PUBLICO"


Todos estos exploits, provienen de una vulnerabilidad,
curiosamente unas semanas mas tarde que haya sido
publicada, resuelta y estando los parches a disposicion
del publico.

Ciñamonos, en una explicacion simple al caso del Blaster.
(el Sasster es identico):

Un agujero de seguridad en el RCP ("Remote Procedure
Call", o llamada a procedimiento remoto), fue detectado y
corregido por Microsoft el día 16 de julio de 2003:

http://www.microsoft.com/security/s...tins/ms03-
026.asp

Están afectados todos los sistemas de núcleo NT (W2000,
XP, W2003).
La actualización crítica fue puesta a disposición de los
usuarios a través de Windows Update y del sistema de
actualizaciones automáticas.

Pocos días más tarde, apareció publicado en páginas
dedicadas al hacking, como por ejemplo
http://cyruxnet.com.ar/rpcxploit2.htm#windows, un exploit
(programa malicioso para usar o explotar una
vulnerabilidad) llamado DCOM el cual era capaz de provocar
un desbordamiento de buffer en una máquina remota al
objeto de tomar control de ella.

El método, con el exploit anterior, es de lo más sencillo:

dcom 1 direccion_IP
telnet direccion_ip 4444



GRAVEDAD DE ESTE EXPLOIT


Fijemonos, que este exploit, NO ha metido ningun gusano.
No es un gusano sino un ataque directo. Alguien acaba
de tomar control de nuestra maquina. A partir de este
momento, puede hacer lo que quiera: llevarse datos,
cambiarnos las claves, llevarse el fichero de claves,
llevarse certificados digitales de nuestra maquina,
colocarnos un keylloger para pillar las pulsaciones
tecleadas en paginas seguras -paginas bancarias,
transacciones comerciales, etc-

Y lo que es mas grave: en nuestra maquina, todavia no ha
aparecido la famosa cuenta atras de un minuto que nos
indicaria la presencia de Blaster o Sasster. No hay ningun
sintoma de que estemos infectados, o que hayan entrado en
nuestra maquina.

Unicamente cuando ese visitante malicioso se vaya. en
ese momoento aparecerá la famosa cuenta atras de un
minuto. Pero el mal... ya está hecho. Ya nos da igual.

Puede incluso ser peor: dejarnos un zombie p un troyanito
hecho a medida (los famosos rootkit, indetectables por su
variedad y porque no hay herramientas para ello), y
continuar capturando informacion a posteriori.


Fijemonos en lo mas importante: no estamos infectados. Y
si de casualidad, además, nos infecta un gusano, ese pobre
gusano es totalmente inocente. No es peligroso no pasa
nada grave.



PROBLEMA REAL
-

El problema en sí, es que hemos sufrido una intrusion por
ser vulnerables.


Y demos gracias, a que precisamente nos enteramos de la
intrusion debido a la existencia del gusano. Si no
hubiesen realizado el gusano, unicamente exstiria el
exploit. Tardarian meses en diagnosticar lo que está
pasando. Gracias precisamente a la existencia del gusano,
las grandes casas de antivirus han tomado cartas en el
asunto, pero unicmanete a nivel que a ellos les compete:
eliminar el gusano.

No entran, ni pueden entrar en lo que nos haya podido
pasar por haber sido vulnerables, y por las intrusiones
realizadas.


CIÑENDOS EN LA ACTUALIDAD AL SASSTER


La sintomatologia de que hemos sido vulnerables es
simplemente un mensaje similar a:

LSA Shell (Export Version) ha encontrado un
problema
y debe cerrarse.

O bien mensajes del tipo:

Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM

Tiempo restante
para el apagado: xx:xx:xx

Mensaje
El proceso del sistema
C:\WINNT\system32\lsass.exe terminó
de forma inesperada indicando código 0
Windows debe reiniciar ahora.


Con una cuenta regresiva y la maquina se reinicia. COn
esto indica que somo vulnerables y por tanto, o bien ha
sido un simple ataque del sasster, algo totalmente inocuo,
o bien hemos sufrido una intrusion.

Parece que es muy dificil, y es en lo que internamente nos
escudamos, que precisamente nuestra maquina haya sido
objeto de tal intrusion. Por desgracia, tal y como estan
las cosas, esto ultimo es lo mas probable.

Paginas maliciosas llevan tiempo distribuyendo los
exploits que permiten intrusiones por rangos completos de
IP. Totalmente mecanizados para que los script-kiddies no
tengan mucho trabajo que hacer y solo recolectar la
informacion.


Veamos pginas de "informacion" y de donde se pueden bajar
dichos exploits:


Por ejemplo: http://cyruxnet.com.ar

Exploit para el LSASS (MS04-011) (25-04-2004)

Se trata de un nuevo exploit para otra de las
vulnerabilidades del MS04-011,
la que se referenciaba como "LSASS Vulnerability"
Esta vulnerabilidad fue encontrada por la gente de eEye
(AD20040413C) y
afecta a los Windows 2k/XP, el servicio afectado es el LSA
(Local Security
Authority) Service (LSASRV.DLL).
El exploit causa un overflow
Se ven afectados los Windows 2k/XP que no esten parcheados
con el parche del
MS04-011
Exploit: ms04011lsass.c (links externo a www.k-otik.com).

DSScan: Escaner para esta vulnerabilidad publicado por
Foundstone antes de
aparecer el exploit.
Descargalo aquí

Actualización 26-04-2004 :
Versión compilada: ms04011lsass
/download/ms04011lsass.zip

Actualización 29-04-2004 :
exploit universal (2k/XP): HOD-ms04011-lsasrv-expl
http://cyruxnet.com.ar/download/HOD...v-expl.rar

Origen: www.k-otik.com
-



CONCLUSIONES


1) FORMATEAR

No por la existencia del gusano en si, o porque hayamos
sido infectados. Sino porque hemos sido vulnerables: se
puede afirmar que uno de cada tres ataques no es una
infeccion del gusano, sino una intrusion en toda regla por
uno de los millones de script-kiddies que hay sin otro
oficion ni beneficio que realizar estos actos vandalicos.

2) CAMBIAR TODAS LAS CLAVES

Es enecesario cambiar todas las claves y usar claves
nuevas.

Avisar a los servicios (bancarios, de emision de
certificados, etc) y cambiar en ellos las claves de
acceso. Aunque no los hayamos utilizado dirante la
existencia del gusano, pero cualquier cookie, o
informacion alamcendad previamente en nuestra maquina ha
podido salir a internet y pasar en la actualidad a
engrosar las listas de datos que posteriormente estos
script-kiddies, venden en el mismo internet.

3) La informacion confidencial, que tuviesemos, bien
personal o bien empresarial, puede que sea ahora del
Dominio Publico.



Jose Manuel Tella Llop
MVP - Windows
jmtella@compuserve.com
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de
ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and
confers no rights.
You assume all risk for your use.
 

Leer las respuestas

#1 Anonymous
04/05/2004 - 14:03 | Informe spam
Gravamelo en MP3. Please
Que tengo vista cansada.

"Iluminada" escribió en el mensaje
news:81c101c431cf$b0a178a0$
Courtesy of the MVP Spanish
Jose Manuel Tella Llop
MVP - Windows


The world must know the threats that us deliberately hide
to us.

Will be published translated


SOBRE LAS NUEVAS MANERAS DE EXTRAER INFORMACION DE
NUESTRAS MAQUINAS


Este artciulo viene a colación de las diversas
desinformacion que se están dando, y se dieron en el
pasado "a proposito" en algunos medios de comunicacion con
respecto a vulnerabilidades, virus, gusanos, del estilo
Blaster, y en la actualidad del Sasster.

Quiero orientar el articulo, fundamentalmente a los
usuarios domesticos. En el ambito empresarial es otra
historia, ya que las empresas tienen sus propios
mecanismos de seguridad, al igual que personal
especializado que juzgaran en cada caso, las fuga de
informacion y la manera de atajarla así como los medios a
poner para resolver el problema. En estos ultimos casos,
la casuistica debe ser estudiada con detalle.

INTRODUCCION:
-

Pero a nivel domestico, tenemos una pregunta que hacernos:
¿es necesario formatear el equipo ante la entrada de uno
de estos gusanos?.

Esta es la pregunta formulada en terminos clasicos.
Cualquier experto en informatica os respondera
inmediatamente: ESTA REALMENTE MAL FORMULADA LA PREGUNTA.


La pregunta correcta debería ser: En caso de una intrusion
fuerte, seria, en manos de millones de delincuentes -
script-kiddies- ¿debo formatear? ¿que mas accciones de
seguridad y para proteger mis datos debo tomar?


Antes de nada, vamos a definir el termino script-kiddie:
niños idiotas en castellano. Es gente sin o con poco
conocimiento de informatica, dedicados al vandalismo, y
que se dedican a modificar, realizando un pequeño conjunto
de comandos -script- un exploit (programa malicioso para
explotar una vulnerabilidad) al objeto de conquistar una
maquina y hacer en ella las acciones que hayan pensado
para su "script".

Esto es tan peligroso... que no hay una norma general de
que es lo que hacen. Se sabe lo que pueden hacer. Pero
cada uno será diferente al anterior.


ANTECEDENTES Y EXPLOITS AL ALCANCE DEL "PUBLICO"


Todos estos exploits, provienen de una vulnerabilidad,
curiosamente unas semanas mas tarde que haya sido
publicada, resuelta y estando los parches a disposicion
del publico.

Ciñamonos, en una explicacion simple al caso del Blaster.
(el Sasster es identico):

Un agujero de seguridad en el RCP ("Remote Procedure
Call", o llamada a procedimiento remoto), fue detectado y
corregido por Microsoft el día 16 de julio de 2003:

http://www.microsoft.com/security/s...tins/ms03-
026.asp

Están afectados todos los sistemas de núcleo NT (W2000,
XP, W2003).
La actualización crítica fue puesta a disposición de los
usuarios a través de Windows Update y del sistema de
actualizaciones automáticas.

Pocos días más tarde, apareció publicado en páginas
dedicadas al hacking, como por ejemplo
http://cyruxnet.com.ar/rpcxploit2.htm#windows, un exploit
(programa malicioso para usar o explotar una
vulnerabilidad) llamado DCOM el cual era capaz de provocar
un desbordamiento de buffer en una máquina remota al
objeto de tomar control de ella.

El método, con el exploit anterior, es de lo más sencillo:

dcom 1 direccion_IP
telnet direccion_ip 4444



GRAVEDAD DE ESTE EXPLOIT


Fijemonos, que este exploit, NO ha metido ningun gusano.
No es un gusano sino un ataque directo. Alguien acaba
de tomar control de nuestra maquina. A partir de este
momento, puede hacer lo que quiera: llevarse datos,
cambiarnos las claves, llevarse el fichero de claves,
llevarse certificados digitales de nuestra maquina,
colocarnos un keylloger para pillar las pulsaciones
tecleadas en paginas seguras -paginas bancarias,
transacciones comerciales, etc-

Y lo que es mas grave: en nuestra maquina, todavia no ha
aparecido la famosa cuenta atras de un minuto que nos
indicaria la presencia de Blaster o Sasster. No hay ningun
sintoma de que estemos infectados, o que hayan entrado en
nuestra maquina.

Unicamente cuando ese visitante malicioso se vaya. en
ese momoento aparecerá la famosa cuenta atras de un
minuto. Pero el mal... ya está hecho. Ya nos da igual.

Puede incluso ser peor: dejarnos un zombie p un troyanito
hecho a medida (los famosos rootkit, indetectables por su
variedad y porque no hay herramientas para ello), y
continuar capturando informacion a posteriori.


Fijemonos en lo mas importante: no estamos infectados. Y
si de casualidad, además, nos infecta un gusano, ese pobre
gusano es totalmente inocente. No es peligroso no pasa
nada grave.



PROBLEMA REAL
-

El problema en sí, es que hemos sufrido una intrusion por
ser vulnerables.


Y demos gracias, a que precisamente nos enteramos de la
intrusion debido a la existencia del gusano. Si no
hubiesen realizado el gusano, unicamente exstiria el
exploit. Tardarian meses en diagnosticar lo que está
pasando. Gracias precisamente a la existencia del gusano,
las grandes casas de antivirus han tomado cartas en el
asunto, pero unicmanete a nivel que a ellos les compete:
eliminar el gusano.

No entran, ni pueden entrar en lo que nos haya podido
pasar por haber sido vulnerables, y por las intrusiones
realizadas.


CIÑENDOS EN LA ACTUALIDAD AL SASSTER


La sintomatologia de que hemos sido vulnerables es
simplemente un mensaje similar a:

LSA Shell (Export Version) ha encontrado un
problema
y debe cerrarse.

O bien mensajes del tipo:

Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM

Tiempo restante
para el apagado: xx:xx:xx

Mensaje
El proceso del sistema
C:\WINNT\system32\lsass.exe terminó
de forma inesperada indicando código 0
Windows debe reiniciar ahora.


Con una cuenta regresiva y la maquina se reinicia. COn
esto indica que somo vulnerables y por tanto, o bien ha
sido un simple ataque del sasster, algo totalmente inocuo,
o bien hemos sufrido una intrusion.

Parece que es muy dificil, y es en lo que internamente nos
escudamos, que precisamente nuestra maquina haya sido
objeto de tal intrusion. Por desgracia, tal y como estan
las cosas, esto ultimo es lo mas probable.

Paginas maliciosas llevan tiempo distribuyendo los
exploits que permiten intrusiones por rangos completos de
IP. Totalmente mecanizados para que los script-kiddies no
tengan mucho trabajo que hacer y solo recolectar la
informacion.


Veamos pginas de "informacion" y de donde se pueden bajar
dichos exploits:


Por ejemplo: http://cyruxnet.com.ar

Exploit para el LSASS (MS04-011) (25-04-2004)

Se trata de un nuevo exploit para otra de las
vulnerabilidades del MS04-011,
la que se referenciaba como "LSASS Vulnerability"
Esta vulnerabilidad fue encontrada por la gente de eEye
(AD20040413C) y
afecta a los Windows 2k/XP, el servicio afectado es el LSA
(Local Security
Authority) Service (LSASRV.DLL).
El exploit causa un overflow
Se ven afectados los Windows 2k/XP que no esten parcheados
con el parche del
MS04-011
Exploit: ms04011lsass.c (links externo a www.k-otik.com).

DSScan: Escaner para esta vulnerabilidad publicado por
Foundstone antes de
aparecer el exploit.
Descargalo aquí

Actualización 26-04-2004 :
Versión compilada: ms04011lsass
/download/ms04011lsass.zip

Actualización 29-04-2004 :
exploit universal (2k/XP): HOD-ms04011-lsasrv-expl
http://cyruxnet.com.ar/download/HOD...v-expl.rar

Origen: www.k-otik.com
-



CONCLUSIONES


1) FORMATEAR

No por la existencia del gusano en si, o porque hayamos
sido infectados. Sino porque hemos sido vulnerables: se
puede afirmar que uno de cada tres ataques no es una
infeccion del gusano, sino una intrusion en toda regla por
uno de los millones de script-kiddies que hay sin otro
oficion ni beneficio que realizar estos actos vandalicos.

2) CAMBIAR TODAS LAS CLAVES

Es enecesario cambiar todas las claves y usar claves
nuevas.

Avisar a los servicios (bancarios, de emision de
certificados, etc) y cambiar en ellos las claves de
acceso. Aunque no los hayamos utilizado dirante la
existencia del gusano, pero cualquier cookie, o
informacion alamcendad previamente en nuestra maquina ha
podido salir a internet y pasar en la actualidad a
engrosar las listas de datos que posteriormente estos
script-kiddies, venden en el mismo internet.

3) La informacion confidencial, que tuviesemos, bien
personal o bien empresarial, puede que sea ahora del
Dominio Publico.



Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de
ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and
confers no rights.
You assume all risk for your use.

Preguntas similares