Gusano + Vulnerabilidad del RPC

17/08/2003 - 10:42 por Er_belga | Informe spam
Hola.
Hay otros métodos...
Saludos,
Fernando
=
-
Hispasec - una-al-día 11/08/2003
Todos los días una noticia de seguridad www.hispasec.com
-

W32/Blaster, un gusano con una alta incidencia
-

Tal como avanzamos ayer por la noche en un boletín de urgencia, se está
propagando con rapidez un gusano que ataca los ordenadores que utilizan
los sistemas operativos Windows (las versiones Windows NT 4.0, Windows
2000, Windows XP y Windows Server 2003).Este gusano se aprovecha de una
vulnerabilidad recientemente descubierta en la interfaz de peticiones a
procedimientos remotos (Remote Procedure Call, RPC) de Windows.

El verano del 2003 será recordado por dos hechos en los que la velocidad
de propagación ha sido un factor clave: la oleada de incendios
forestales y el gran número de usuarios que se ven forzados a reiniciar
sus PC debido a la distribución alcanzada por el gusano W32/Blaster.

W32/Blaster utiliza una vulnerabilidad presente en la interfaz RPC de
Windows, descrita a mediados del pasado mes de julio. Esta
vulnerabilidad permite a un atacante remoto (en este caso, el gusano)
obtener el control completo del sistema vulnerable y la ejecución de
código arbitrario.

El gusano dispone de un algoritmo para generar los rangos de direcciones
IP donde intenta localizar nuevos sistemas vulnerables en los que
intentará propagarse. Este algoritmo está pensado para aumentar las
probabilidades de atacar sistemas situados en redes cercanas.

Para cada dirección IP obtenida, el gusano analiza las 20 direcciones IP
siguientes, intentando establecer una conexión en el puerto 135/tcp. Si
la conexión es satisfactoria, el gusano utilizado dos exploits
diferentes para intentar infiltrarse en el sistema remoto. El primero de
estos exploits sólo funciona si el sistema remoto ejecuta Windows 2000
mientras que el segundo es válido en el caso de que el sistema remoto
utilice Windows XP.

Debido a que el gusano no intenta determinar que versión de Windows
utiliza el sistema remoto, sino que lanza uno u otro exploit de forma
aleatoria, en el momento de enviar el código del exploit puede provocar
la detención inesperada del proceso SVCHOST.EXE en el sistema atacado, l
o que provocará que el sistema se vuelva inestable. En estos casos, la
infección no será satisfactoria, pero el sistema atacado puede quedar
inoperativo.

La función del exploit utilizado es abrir una sesión del intérprete de
órdenes de Windows, asociada al puerto 4444/tcp. Dentro de esta sesión,
el gusano utiliza la utilidad tftp para transferir el código del gusano
al ordenador recién atacado.

Una vez ha conseguido entrar en un ordenador vulnerable, el gusano añade
una entrada en el registro para asegurar su ejecución automática en el
momento en que se reinicie el sistema operativo:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"windows auto update"="msblast.exe"

Por otra parte, el gusano también verifica la fecha del sistema. En el
caso de que el día del mes sea igual o posterior a 16, empezará a enviar
una gran cantidad de tráfico (paquetes de 40 bytes enviados cada 20
milisegundos) hacia el puerto 80/tcp de windowsupdate.com. La acción
combinada de un gran número de máquinas infectadas puede tener como
efecto un ataque distribuido de denegación de servicio contra el
servicio de actualizaciones de software de Microsoft.


Eliminación del gusano

Para eliminar manualmente el gusano de un ordenador infectado deben
realizarse los siguientes pasos:

1. Utilizar el administrador de tareas de Windows (accesible mediante la
combinación de teclas Control-Alt-Majús-Esc) para finalizar la ejecución
del proceso MSBLAST.EXE

2. Borrar el archivo MSBLAST.EXE del directorio de sistema de Windows

3. Utilizar el editor de registro para borrar la entrada añadida en el
registro
(HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Windows
Auto Update).

4. Reiniciar la máquina

Adicionalmente diversos fabricantes de programas antivirus han publicado
herramientas para realizar esta eliminación de forma automática. Algunas
de estas herramientas son

ftp://ftp.f-secure.com/anti-virus/t...lovsan.zip
http://vil.nai.com/vil/stinger
http://securityresponse.symantec.co...er.worm.re
moval.tool.html

No obstante, tal como ya indicamos en nuestro boletín de ayer, la mejor
prevención pasa por evitar la entrada del gusano. Para ello es
importante aplicar la actualización publicada por Microsoft que elimina
la vulnerabilidad RPC de Windows. Esta actualización está disponible en
WindowsUpdate.com o bien descargando el parche específico para cada
versión de Windows (consultar el "una-al-día" del pasado 18 de julio
para las URL de estos parches).

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1751/comentar

Más información:

Una-al-día (10-08-03) - Aviso de urgencia: Un nuevo gusano de
propagación masiva
http://www.hispasec.com/unaaldia/1750

Una-al-día (18-07-03) - Desbordamiento de búfer en interfaz RPC de
sistemas Windows
http://www.hispasec.com/unaaldia/1750

MS DCOM RPC Worm
https://tms.symantec.com/members/An...OMworm.pdf

Gusano W32.Blaster
http://www.unam-cert.unam.mx/Notas/...3-008.html

Windows worm starts its spread
http://rss.com.com/2100-1002_3-
5062364.html?type=pt&part=rss&tag=feed&subj=news

WORM_MSBLAST_A
http://www.trendmicro.com/vinfo/vir...ORM_MSBLAS
T.A

RPC DCOM Worm On The Loose
http://slashdot.org/article.pl?sid/08/11/2048249

Aviso del CERT CA-2003-20
W32/Blaster worm
http://www.cert.org/advisories/CA-2003-20.html

Win32.Poza
http://www3.ca.com/virusinfo/virus.aspx?ID6265

Lovsan
http://www.datafellows.com/v-descs/msblast.shtml

W32/Blaster-A
http://www.sophos.com/virusinfo/ana...stera.html

Internet Security Systems Security Alert: "MS Blast" MSRPC DCOM Worm
Propagation
http://xforce.iss.net/xforce/alerts/id/150

Win32 Blaster Worm is on the Rise
http://slashdot.org/article.pl?sid/08/12/1326237

MSBlaster worm spreading rapidly
http://www.theregister.co.uk/content/56/32286.html

Detalles del virus Blaster
http://www.alerta-antivirus.es/viru...s.html?cod(80

W32/Lovsan.worm
http://vil.nai.com/vil/content/v_100547.htm

W32.Blaster.Worm
http://securityresponse.symantec.co...er.worm.ht
ml


Xavier Caballé
xavi@hispasec.com


Tal día como hoy:

11/08/2002: Elevación de privilegios local en Windows 2000
http://www.hispasec.com/unaaldia/1386

11/08/2001: Varias vulnerabilidades en Snapstream Personal Video Station
http://www.hispasec.com/unaaldia/1021

11/08/2000: "Qaz": troyano, backdoor y gusano
http://www.hispasec.com/unaaldia/655

11/08/1999: Cuenta de administración por defecto en WebRamp
http://www.hispasec.com/unaaldia/288


-
Claves PGP en http://www.hispasec.com/directorio/contacto
-
Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
-
(c) 2003 Hispasec http://www.hispasec.com/copyright
-
 

Leer las respuestas

#1 JM Tella Llop [MS MVP] ·
17/08/2003 - 10:47 | Informe spam
Si habeis leido mis articulos em http://www.multingles.net/docs/rpc.htm vereis que al ser vulnerable al RPC, no solo ha podido entrar el virus/gusano blaster (que luego hablaremos de él), sino que cualquier hacker, o lo que peor, cualquier sctipt-kiddie ha podido entrar en tu maquina, sin mas que bajarse el programa dcom.final que hay en las paginas de:
http://cyruxnet.com.ar/rpcxploit2.htm#windows

y simplemente a continuacion, ejecutando:

dcom 1 direccion_IP
telnet direccion_ip 4444

habrá entrado en tu maquina hasta la cocina. Con atributos de Local System, es decir, por encima del Administrador. A partir de ahí habrá hecho lo que le ha dado la gana. (prefiero no darte ideas porque es peor).

Además, y debido a un error de programacion de ese programa malicioso llamado DCOM, el cual tambien utiliza el virus para entrar, el DCOM (o el virus) provocan un casque en el sistema RPC, que se manifiesta por la ventana que sale informandote que se va a cerrar windows.
Ese mensaje sale al final del ataque, es decir, cuando el hacker se va de tu maquina despues de hacer lo que quiera, o cuando el virus acaba de entrar y hacer parte de su tarea. Es decir, por cada vez que hayas visto esa ventana, o te ha entrado un hacker, o te ha entrado otra vez el virus, ha hecho lo que ha querido y se ha ido.

Un visitante malintecionado, por ejemplo, puede con los atributos de Local System, crearte carpetas absolutamente ocultas a todo el sistema, dejar pornografía allí, dejarte un miniserver ftp y convertirte en redistribuidor de pronografia en la red (esto es muy viejo, y lo hacen desde hace años cuando conquistan una maquina. Mucha gente ha sido penada por esto). O bien, puede dejar un zombie en tu maquina para tomar control de ella en cualquier momento para cualquier actividad ilegal. O tu PC puede engrosar las listas de PC's zombies que se venden en la red, para propositos terroristas en un determinado momento. En cualquier caso, y por no haber formateado, la responsabilidad de para que se usa maquina, será tuya desde ese momento. Debemos saber que el ser internatuta en la red, conlleva una responsabilidad, y esa responsabilidad se llama "Seguridad".

Ahora bien, y con respecto al gusano: existen varias variedades: algunas son capaces de llevarse de tu maquina toda la informacion, sobre todo a nivel de password de tu maquina, incluso de tu red, y lo que es importante cualquier clave almacenada en el PC (cuentas de credito, claves de acceso telefonico, claves de cuentas de correo, numeros personales de acceso a paginas bancarias, etc). Por tanto, lo primero que hay que hacer despues de formatear e instalar de nuevo es cambiar todas las claves. TODAS.
Otras variantes del virus, incluso pueden manejar tu webcam y tu microfono para pillar todo y enviarlo a la red.
Y por supuesto, lo que puede hacer un hacker o un script-kiddie, es realmente de alucinar.

Despues de esto... ¿todavía tienes la mas minima duda en el formateo?
Maxime ademas cuando todas las paginas de antivirus informan que en entornos corporativos es obligado formatear y cambiar todas las claves de la red. El mismo consejo en las paginas de Microsoft, y por supuesto, del CERT, que es el maximo organismo de seguridad a nivel mundial.
La pregunta del millon es ¿que tienen las corporaciones que yo no pueda tener en mi maquina?. Lo siento, pero mi maquina es, o debe ser, al menos tan preciada como una maquina en una Empresa... y muchas veces, la informacion que posee es mucho mas delicada, o puede hacer mucho mas daño a mi bolsillo.




Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.





"Er_belga" wrote in message news:
Hola.
Hay otros métodos...
Saludos,
Fernando
=>
-
Hispasec - una-al-día 11/08/2003
Todos los días una noticia de seguridad www.hispasec.com
-

W32/Blaster, un gusano con una alta incidencia
-

Tal como avanzamos ayer por la noche en un boletín de urgencia, se está
propagando con rapidez un gusano que ataca los ordenadores que utilizan
los sistemas operativos Windows (las versiones Windows NT 4.0, Windows
2000, Windows XP y Windows Server 2003).Este gusano se aprovecha de una
vulnerabilidad recientemente descubierta en la interfaz de peticiones a
procedimientos remotos (Remote Procedure Call, RPC) de Windows.

El verano del 2003 será recordado por dos hechos en los que la velocidad
de propagación ha sido un factor clave: la oleada de incendios
forestales y el gran número de usuarios que se ven forzados a reiniciar
sus PC debido a la distribución alcanzada por el gusano W32/Blaster.

W32/Blaster utiliza una vulnerabilidad presente en la interfaz RPC de
Windows, descrita a mediados del pasado mes de julio. Esta
vulnerabilidad permite a un atacante remoto (en este caso, el gusano)
obtener el control completo del sistema vulnerable y la ejecución de
código arbitrario.

El gusano dispone de un algoritmo para generar los rangos de direcciones
IP donde intenta localizar nuevos sistemas vulnerables en los que
intentará propagarse. Este algoritmo está pensado para aumentar las
probabilidades de atacar sistemas situados en redes cercanas.

Para cada dirección IP obtenida, el gusano analiza las 20 direcciones IP
siguientes, intentando establecer una conexión en el puerto 135/tcp. Si
la conexión es satisfactoria, el gusano utilizado dos exploits
diferentes para intentar infiltrarse en el sistema remoto. El primero de
estos exploits sólo funciona si el sistema remoto ejecuta Windows 2000
mientras que el segundo es válido en el caso de que el sistema remoto
utilice Windows XP.

Debido a que el gusano no intenta determinar que versión de Windows
utiliza el sistema remoto, sino que lanza uno u otro exploit de forma
aleatoria, en el momento de enviar el código del exploit puede provocar
la detención inesperada del proceso SVCHOST.EXE en el sistema atacado, l
o que provocará que el sistema se vuelva inestable. En estos casos, la
infección no será satisfactoria, pero el sistema atacado puede quedar
inoperativo.

La función del exploit utilizado es abrir una sesión del intérprete de
órdenes de Windows, asociada al puerto 4444/tcp. Dentro de esta sesión,
el gusano utiliza la utilidad tftp para transferir el código del gusano
al ordenador recién atacado.

Una vez ha conseguido entrar en un ordenador vulnerable, el gusano añade
una entrada en el registro para asegurar su ejecución automática en el
momento en que se reinicie el sistema operativo:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"windows auto update"="msblast.exe"

Por otra parte, el gusano también verifica la fecha del sistema. En el
caso de que el día del mes sea igual o posterior a 16, empezará a enviar
una gran cantidad de tráfico (paquetes de 40 bytes enviados cada 20
milisegundos) hacia el puerto 80/tcp de windowsupdate.com. La acción
combinada de un gran número de máquinas infectadas puede tener como
efecto un ataque distribuido de denegación de servicio contra el
servicio de actualizaciones de software de Microsoft.


Eliminación del gusano

Para eliminar manualmente el gusano de un ordenador infectado deben
realizarse los siguientes pasos:

1. Utilizar el administrador de tareas de Windows (accesible mediante la
combinación de teclas Control-Alt-Majús-Esc) para finalizar la ejecución
del proceso MSBLAST.EXE

2. Borrar el archivo MSBLAST.EXE del directorio de sistema de Windows

3. Utilizar el editor de registro para borrar la entrada añadida en el
registro
(HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Windows
Auto Update).

4. Reiniciar la máquina

Adicionalmente diversos fabricantes de programas antivirus han publicado
herramientas para realizar esta eliminación de forma automática. Algunas
de estas herramientas son

ftp://ftp.f-secure.com/anti-virus/t...lovsan.zip
http://vil.nai.com/vil/stinger
http://securityresponse.symantec.co...er.worm.re
moval.tool.html

No obstante, tal como ya indicamos en nuestro boletín de ayer, la mejor
prevención pasa por evitar la entrada del gusano. Para ello es
importante aplicar la actualización publicada por Microsoft que elimina
la vulnerabilidad RPC de Windows. Esta actualización está disponible en
WindowsUpdate.com o bien descargando el parche específico para cada
versión de Windows (consultar el "una-al-día" del pasado 18 de julio
para las URL de estos parches).

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1751/comentar

Más información:

Una-al-día (10-08-03) - Aviso de urgencia: Un nuevo gusano de
propagación masiva
http://www.hispasec.com/unaaldia/1750

Una-al-día (18-07-03) - Desbordamiento de búfer en interfaz RPC de
sistemas Windows
http://www.hispasec.com/unaaldia/1750

MS DCOM RPC Worm
https://tms.symantec.com/members/An...OMworm.pdf

Gusano W32.Blaster
http://www.unam-cert.unam.mx/Notas/...3-008.html

Windows worm starts its spread
http://rss.com.com/2100-1002_3-
5062364.html?type=pt&part=rss&tag=feed&subj=news

WORM_MSBLAST_A
http://www.trendmicro.com/vinfo/vir...ORM_MSBLAS
T.A

RPC DCOM Worm On The Loose
http://slashdot.org/article.pl?sid/08/11/2048249

Aviso del CERT CA-2003-20
W32/Blaster worm
http://www.cert.org/advisories/CA-2003-20.html

Win32.Poza
http://www3.ca.com/virusinfo/virus.aspx?ID6265

Lovsan
http://www.datafellows.com/v-descs/msblast.shtml

W32/Blaster-A
http://www.sophos.com/virusinfo/ana...stera.html

Internet Security Systems Security Alert: "MS Blast" MSRPC DCOM Worm
Propagation
http://xforce.iss.net/xforce/alerts/id/150

Win32 Blaster Worm is on the Rise
http://slashdot.org/article.pl?sid/08/12/1326237

MSBlaster worm spreading rapidly
http://www.theregister.co.uk/content/56/32286.html

Detalles del virus Blaster
http://www.alerta-antivirus.es/viru...s.html?cod(80

W32/Lovsan.worm
http://vil.nai.com/vil/content/v_100547.htm

W32.Blaster.Worm
http://securityresponse.symantec.co...er.worm.ht
ml


Xavier Caballé



Tal día como hoy:

11/08/2002: Elevación de privilegios local en Windows 2000
http://www.hispasec.com/unaaldia/1386

11/08/2001: Varias vulnerabilidades en Snapstream Personal Video Station
http://www.hispasec.com/unaaldia/1021

11/08/2000: "Qaz": troyano, backdoor y gusano
http://www.hispasec.com/unaaldia/655

11/08/1999: Cuenta de administración por defecto en WebRamp
http://www.hispasec.com/unaaldia/288


-
Claves PGP en http://www.hispasec.com/directorio/contacto
-
Bajas: mailto:?subject=unsubscribe
Altas: mailto:?subject=subscribe
-
(c) 2003 Hispasec http://www.hispasec.com/copyright
-

Preguntas similares