[SECURITY-L] [cais em cais.rnp.br: CAIS-Resumo: Janeiro a Marco de 2003]

Silvana Mieko Misuta mieko em ccuec.unicamp.br
Qui Abr 3 09:22:45 -03 2003 

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Resumo: Janeiro a Marco de 2003 
To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Thu, 27 Mar 2003 15:54:49 -0300 (BRT)

-----BEGIN PGP SIGNED MESSAGE-----


Prezados,

Como e´ de conhecimento da comunidade atuante na area de seguranca, o
CERT/CC divulga a cada tres meses o CERT Summary, fazendo um resumo sobre
os alertas, vulnerabilidades e incidentes ocorridos nos ultimos meses.

Tradicionalmente, o CAIS repassa os CERT Summaries, com uma sinopse onde
faz uma analise comparativa entre os dados apresentados pelo CERT e as
ocorrencias registradas pelo CAIS no mesmo periodo.

A partir de 2003, o CAIS adotara´ uma abordagem diferente, continuara´
repassando os CERT Summaries e divulgara´ uma publicacao em separado, o
"CAIS Resumo", que segue a mesma filosofia do documento do CERT, porem com
foco nos dados registrados pelo CAIS e a realidade das redes brasileiras.

Este primeiro Resumo do CAIS aborda os alertas, vulnerabilidades e demais
acontecimentos que se destacaram na area de seguranca no primeiro
trimestre de 2003.

1. Em janeiro houve a propagacao do worm Slammer, ou Sapphire, que teve
   como alvo sistemas Microsoft Windows vulneraveis a falha no Resolution
   Service do Microsoft SQL Server 2000. Embora tal worm explorasse uma
   vulnerabilidade ja´ conhecida, muitos sistemas foram afetados,
   demonstrando a fragilidade gerada por sistemas desatualizados ou
   instalacoes padrao, feitas sem o devido cuidado com as correcoes
   recomendadas pelos fabricantes.

2. Em fevereiro, o destaque foi o termino do horario de verao 2002/2003,
   no dia 16/02. Lembrando que a precisao dos relogios dos sistemas e´ de
   vital importancia para o tratamento de incidentes de seguranca, pois
   permite manter a consistencia dos logs, sendo imprescindivel nas
   investigacoes e identificao de responsaveis.

3. No inicio de marco foi revelada uma vulnerabilidade do tipo "buffer
   overflow" no Sendmail, que poderia permitir acesso privilegiado
   remotamente. O impacto maior deste alerta reside no fato de que grande
   parte dos servidores de e-mail utiliza o Sendmail como MTA.

4. Tambem em marco, foi identificada uma vulnerabilidade no Snort, um
   software de IDS disponivel em dominio publico e muito usado atualmente.

5. Em marco ainda, o CERT/CC divulgou um alerta abordando o aumento
   de atividade relacionada ao compartilhamento de recursos do Windows, o
   que envolve as portas 137/tcp e udp, 138/udp e 139/tcp, alem da
   445/tcp. O CAIS tambem registrou aumento de atividades de
   reconhecimento envolvendo as referidas portas, principalmente
   scans na porta 445.

6. No dia 11 de marco, foi identificada uma nova versao do worm
   CodeRed: o CodeRed.F. Tal variante e´ quase identica ao CodeRed II,
   exceto a capacidade de se propagar indefinidamente, lembrando que o
   CodeRed II estava programado para interromper sua propagacao no
   final de 2002.

7. No dia 17 de marco, o CERT/CC divulgou o alerta CA-2003-09 tratando de
   vulnerabilidade no modulo WebDAV do IIS 5.0. No entanto, no dia 19 foi
   comprovado que a vulnerabilidade afetava a ntdll.dll, uma biblioteca
   vital no sistema Windows. Como o modulo WebDAV utiliza tal DLL, o IIS
   5.0 foi diretamente afetado.

Os alertas divulgados ou repassados pelo CAIS, com maior destaque e
repercussao nos primeiros tres meses de 2003, sao listados abaixo e
estao disponiveis em:

	http://www.rnp.br/cais/alertas/2003/

Alerta do CAIS ALR-18032003
Informacoes adicionais sobre a vulnerabilidade do IIS 5.0 (815021)
[CAIS, 18.3.2003]

CERT Advisory CA-2003-09
Vulnerabilidade no IIS 5.0
[Cert, 17.3.2003]

Alertas do CAIS ALR-11032003
Nova versao do worm CodeRed
[CAIS, 11.03.2003]

Cert Advisory CA-2003-08
Aumento de atividade relacionada ao compartilhamento
de recursos do Windows
[Cert, 11.03.2003]

Alertas do CAIS ALR-10032003
Novo worm conhecido como "Deloder"
[CAIS, 10.03.2003]

ISS Alert
Snort RPC Preprocessing Vulnerability
[ISS, 03.03.2003]

Cert Advisory CA-2003-07
Remote Buffer Overflow in Sendmail
[Cert, 03.03.2003]

Cert Advisory CA-2003-05
Multiplas Vulnerabilidades em Servidores Oracle
[Cert, 19.02.2003]

Alerta do CAIS ALR-06022003
Termino do Horario de Verao 2002/2003
[CAIS, 06.02.2003]

Cert Advisory CA-2003-04
MS-SQL Worm (Slammer)
[Cert, 25.01.2003]

Cert Advisory CA-2003-02
Vulnerabilidade no CVS  Concurrent Versions System
[Cert, 22.01.2003]


A seguir, sao listadas algumas entrevistas concedidas pelo CAIS,
relacionadas aos temas destacados anteriormente:

"Repercussao do worm Slammer no Brasil"
http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=1679&pagenumber=0&id

"Fim do horario de verao e a importancia do ajuste de servidores"
http://www.modulo.com.br/index.jsp?page=3&catid=6&objid=40&pagenumber=0&idiom=0

"Variante do Code Red explora falta de cultura em seguranca"
http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=1785&pagenumber=0


O CAIS ressalta que manter os sistemas e aplicativos atualizados, seguir
uma politica de seguranca, orientar os usuarios, sao algumas das praticas
recomendadas para diminuir os riscos de comprometimento de sua rede, alem
de contribuir para o aumento da seguranca da Internet como um todo.

O CAIS recomenda aos administradores que se mantenham cientes e
conscientes dos alertas, correcoes e atualizacoes disponibilizadas pelos
fabricantes e orgaos de renome na area de seguranca.


Atenciosamente,


################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP      #
#                                                              #
# cais em cais.rnp.br     http://www.cais.rnp.br                  #
# Tel. 019-37873300    Fax. 019-37873301                       #
# Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key #
################################################################


-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8

iQCVAwUBPoNJD+kli63F4U8VAQFOOwQAwA9uhZTfxIXETIRCYTm2fcHvribZwqCs
eKj0uHBVJlEG467Yx+0jLSTAawXvnoJgsIUYg0oWYvwTTjpHbvHVkJcL4JLA+2RU
CefygPGcciPeP3ppT53yNzqFcBt9WjZWp7mmBEfIIhFPgpb0zmLJbfMsCFQWR7ll
Td6n2LXVKyg=
=q2LC
-----END PGP SIGNATURE-----


----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L