[SECURITY-L] Hackers comecam a invadir sistemas com falha no Windows

[Security Team - UNICAMP]

----- Forwarded message from Caio Souza Mendes <caio_sm em yahoo.com.br> -----

From: Caio Souza Mendes <caio_sm em yahoo.com.br>
Subject: Hackers comeXam a invadir sistemas com falha no Windows
To: security em unicamp.br
Date: Fri, 1 Aug 2003 17:10:54 -0300 (ART)

Hackers começam a invadir sistemas com falha no
Windows

Sexta-feira, 1 de Agosto de 2003 - 15h37

IDG Now!

http://idgnow.terra.com.br/idgnow/pcnews/2003/08/0002

O CERT Coordination Center começou a receber relatos
de ataques usando uma nova vulnerabilidade de
segurança e uma falha já conhecida no sistema
operacional Windows, da Microsoft. O CERT é um
instituto que pesquisa segurança na Internet e recebe
financiamento do governo norte-americano.

A vulnerabilidade é a interface no Windows que cuida
das comunicações do computador usando o protocolo RPC
(Remote Procedure Call). Esse problema afeta a maioria
das versões do Windows e pode permitir que um invasor
se apodere de sistemas vulneráveis. A Microsoft
admitiu o problema e lançou um patch corretivo em 16
de julho, logo após sua descoberta pelo grupo polonês
de segurança Last Stage of Delirium.

Relatos de rastreamentos pela Internet em buscas de
máquinas vulneráveis e ataques isolados aproveitando a
falha começaram a aparecer após a publicação na
Internet, na semana passada, de um código que pode ser
usado para explorar essa vulnerabilidade, levando a um
alerta maior de especialistas e do Departamento de
Segurança Nacional dos Estados Unidos sobre a
possibilidade de acontecer um ataque em massa.

O alerta do CERT afirma a existência de diversos
programas que exploram a falha pela Internet e relata
"a atividade de rastreamento intrusiva para se
aproveitar" da vulnerabilidade do Windows.

Nos últimos dois dias, a entidade recebeu informações
de "milhares" de sistemas comprometidos usando
variantes do código malicioso, chamado DCOM RPC,
segundo Jeff Havrilla, analista de segurança de
internet do CERT. O órgão não sabe exatamente quantas
máquinas foram invadidas usando o DCOM RPC, mas a
proporção de relatos que o CERT recebe tipicamente
sobre o número de máquinas comprometidas sugere que
"esse número é grande", de acordo com o analista.

Em muitos casos, os administradores de sistemas - ou
até donos de PCs domésticos - nem imaginam que seus
computadores foram comprometidos. Isso pode estar
acontecendo de propósito: diferente de programas que
aproveitavam de falhas de segurança da Microsoft como
os worms Code Red e Slammer, hackers maliciosos têm
evitado fazer barulho com essa vulnerabilidade,
informa Havrilla.

Com o DCOM RPC em ação, um hacker malicioso pode usar
o programa para instalar Cavalos de Tróia nos sistemas
comprometidos, dando controle das máquinas para uso em
ataques futuros. "Não chega a ser um worm, não está
nesse nível. Mas é uma exploração sistemática e
controlada dos sistemas vulneráveis", disse o
analista.

Além do volume de ataques relacionados à falha do RPC,
há uma outra no mesmo componente que não foi coberta
pela correção da Microsoft, tornando computadores com
Windows 2000 vulneráveis a ataques do tipo "denial of
service", segundo o CERT. Essa nova falha foi
descoberta nos últimos dias e já está sendo usada para
atacar PCs - além de trazer confusão entre clientes da
Microsoft que corrigiram o Windows 2000 e agora
acreditam que o patch de correção não funcionou.

Segundo o CERT, usuários de Windows 2000 devem
atualizar seus sistemas com a correção fornecida pela
Microsoft e bloquear o tráfego de rede nas portas TCP
(Transmission Control Protocol) 135, 139 e 445, usadas
pelo serviço RPC. Usuários de todas as versões
domésticas do Windows - 98, 2000, Me e XP - estão
sujeitos às invasões - por isso, utilize o comando
Windows Update para atualizar seu sistema operacional.

[ Paul Roberts - IDG News Service/EUA, com tradução da
PC World ]

----- End forwarded message -----