[SECURITY-L] CAIS-Alerta: Propagacao do Worm Blaster (DCOM RPC)
Daniela Regina Barbetti Silva
daniela em ccuec.unicamp.br
Ter Ago 12 14:17:36 -03 2003
----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Propagacao do Worm Blaster (DCOM RPC)
To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Mon, 11 Aug 2003 18:55:41 -0300 (BRT)
-----BEGIN PGP SIGNED MESSAGE-----
Prezados,
Estao sendo divulgadas informacoes relacionadas com o aumento de atividade
de um novo worm que ate' o momento foi denominado de Blaster (MSBLASTER).
Este worm explora a vulnerabilidade do Microsoft Windows DCOM RPC que foi
reportada nos seguintes alertas:
. Exploitation of Vulnerabilities in Microsoft RPC Interface
http://www.cert.org/advisories/CA-2003-19.html
. Exploração de Vulnerabilidades do Microsoft RPC
http://www.rnp.br/cais/alertas/2003/CA200319.html
. Atualização do alerta MS03-026
http://www.rnp.br/cais/alertas/2003/cais-alr-25072003.html
. Vulnerabilidade no RPC da Microsoft (823980)
http://www.rnp.br/cais/alertas/2003/MS03-026.html
. Buffer Overrun In RPC Interface Could Allow Code Execution (823980)
http://www.microsoft.com/technet/security/bulletin/ms03-026.asp
As informacoes disponiveis ate' o momento sobre o worm Blaster sao:
. Adiciona o valor "windows auto update"="msblast.exe" na chave de
registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
. Pacotes direcionados a porta 135 que exploram a vulnerabilidade
. Nome do binario do worm: msblast.exe
. MD5SUM: 5ae700c1dffb00cef492844a4db6cd69 (6176 Bytes)
. O binario e' transferido por TFTP (69/UDP)
O CAIS recomenda aos administradores que mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com os boletins de seguranca e
correcoes disponibilizadas pelos fabricantes. Se possivel, e' recomendado
que sejam aplicados filtros para bloquear a entrada de pacotes com destino
a porta 135/UDP, e de pacotes de saida com destino a porta 69/UDP para
tentar conter a atividade do worm.
O CAIS estara' acompanhando de perto o desenrolar deste serio problema e
os mantera' informados.
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQCVAwUBPzgQ5ekli63F4U8VAQE74gP+PMnVd1WY12QxpjnpiEF/XzYKJzBhfDZA
Vx4wBSjA8GQJivMbor0bfEIT570w8hMjInMnrhtXbuMWThTW9dZHaAo2h11+6Xf9
3FCHG+QEbiykNiXpxwXsQqOkiEowftoKNgDPBx7JnV432uRStL6tAbEx8i4t5eel
yZ70JWggg1s=
=A2rS
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L