[SECURITY-L] Falha no Windows pode iniciar ataque em massa na Internet

[Security Team]

----- Forwarded message from Caio Souza Mendes <caio_sm em yahoo.com.br> -----

From: Caio Souza Mendes <caio_sm em yahoo.com.br>
Subject: Falha no Windows pode iniciar ataque em massa na Internet
To: security em unicamp.br
Date: Thu, 31 Jul 2003 16:56:57 -0300 (ART)

Falha no Windows pode iniciar ataque em massa na
Internet

Quinta-feira, 31 de Julho de 2003 - 15h36

IDG Now!

http://idgnow.terra.com.br/idgnow/pcnews/2003/07/0053

Especialistas de segurança alertam que uma
vulnerabilidade recém-descoberta no sistema
operacional Windows possa ser usada por um worm na
Internet que poderia afetar o tráfego de dados na rede
de milhões de máquinas em todo o mundo.

A vulnerabilidade crítica, detalhada no boletim de
segurança MS03-026 de 16 de julho, afeta um componente
chamado Distributed Component Object Model (DCOM), que
cuida do tráfego TCP/IP na porta 135, segundo a
Microsoft.

Uma falha no modo como o DCOM lida com mensagens que
usam o procedimento remoto RPC pode levar esse serviço
a não funcionar quando uma mensagem incorreta é
recebida. O RPC é um protocolo que os programas usam
para requisitar serviços de outros programas rodando
em servidores num ambiente de rede.

Hoje pela manhã, o Departamento de Segurança Nacional
dos Estados Unidos atualizou um alerta anterior sobre
essa vulnerabilidade no RPC, já que notou um aumento
nas buscas em redes e a distribuição ampliada de
explorações dessa falha pela internet.

A vulnerabilidade afeta quase todas as versões do
Windows e pode permitir que um invasor remoto instale
e execute código malicioso nas máquinas afetadas,
dando ao invasor o controle total do computador,
segundo a Microsoft.

O grande problema é que não é necessária a interação
do usuário para comprometer as máquinas, deixando
especialistas em segurança em alerta: eles já
começaram a comparar essa vulnerabilidade no RPC à
encontrada no Microsoft Internet Information Server
(IIS) explorada pelo worm Code Red em julho de 2001.

"Eu comparo o RPC ao que aconteceu com o Code Red. Não
precisa de interação do usuário e o número de máquinas
a serem infectadas está na mesma ordem de magnitude",
diz Johannes Ullrich, diretor de tecnologia do
Internet Storm Center, parte do SANS Institute.

Entretanto, embora o Code Red afetasse apenas um
componente encontrado tipicamente nos servidores
Windows, a vulnerabilidade no RPC atinge componentes
encontrados tanto em servidores quanto computadores de
mesa, explica Tomasz Ostwald, co-fundador do Last
Stage of Delirium, grupo polonês especializado em
segurança que descobriu a falha no RPC e a reportou
para a Microsoft. Com isso, o número de PCs
vulneráveis salta de poucos milhares no caso do Code
Red para milhões para o RPC.

A preocupação aumentou na semana passada quando um
código projetado para explorar a vulnerabilidade RPC
foi colocado na internet. Logo após o lançamento desse
"pacote invasor", conhecido como DCOM RPC, o Internet
Storm Center do SANS Institute notou um aumento de
buscas por portas usadas pela interface afetada, de
acordo com Ullrich.

Entretanto, essa atividade na maioria ainda é
desorganizada e não significa necessariamente que um
ataque em massa ou que o worm DCOM PRC esteja em
posição de ataque, afirmou o especialista. "Parte do
que vimos gente usando esse worm é parte da atividade
hacker atual: desfiguramentos de sites ou gente só
comprometendo outras máquinas", disse.

Comentários postados nos últimos dias em listas de
discussão de segurança sugerem que hackers e
especialistas em segurança de computadores já
modificaram e compartilharam o código do worm desde
que ele foi lançado. Se o DCOM RPC original funcionava
apenas em máquinas rodando Windows 2000 em inglês, as
modificações mais recentes mostram que o código
malicioso pode atuar em sistemas em francês, chinês,
polonês, alemão e japonês, nos Windows 2000, XP e NT.

O RPC está em um estágio similar a uma vulnerabilidade
no banco de dados SQL, da Microsoft, após a publicação
de um código malicioso que explorava a falha no
sistema e foi publicado por um pesquisador de
segurança em agosto do ano passado.

De acordo com Ostwald, o atual estágio do DCOM RPC não
está pronto ainda para distribuição em massa no
formato de um worm. Segundo o especialista, o código
não foi desenvolvido por completo e ainda depende de
variáveis, como a presença de determinadas versões do
Windows.

O pessoal da Last Stage of Delirium desenvolveu um
código "à prova de conceito" para uso interno que
funciona contra diversas versões do Windows e precisa
apenas do endereço IP (Internet Protocol) da máquina
vulnerável para criar um estouro de memória, afirmou
Ostwald. Um código como esse poderia ser "muito útil"
para criadores de worms, tornando fácil a tarefa de um
worm se espalhar de máquina para máquina, segundo o
especialista.

Com worms rodando a solto e novas falhas descobertas a
cada momento , a recomendação é manter sempre o
sistema operacional atualizado por meio do Windows
Update - e ter um bom programa antivírus atualizado
também, para evitar possíveis problemas no futuro.

[ Paul Roberts -- IDG News Service/EUA ]

----- End forwarded message -----