[SECURITY-L] CAIS-Alerta: Propagacao do Worm Blaster (DCOM RPC)

Daniela Regina Barbetti Silva daniela em ccuec.unicamp.br
Ter Ago 12 14:17:36 -03 2003 

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Propagacao do Worm Blaster (DCOM RPC)
To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Mon, 11 Aug 2003 18:55:41 -0300 (BRT)

-----BEGIN PGP SIGNED MESSAGE-----


Prezados,

Estao sendo divulgadas informacoes relacionadas com o aumento de atividade
de um novo worm que ate' o momento foi denominado de Blaster (MSBLASTER).

Este worm explora a vulnerabilidade do Microsoft Windows DCOM RPC que foi
reportada nos seguintes alertas:

. Exploitation of Vulnerabilities in Microsoft RPC Interface
  http://www.cert.org/advisories/CA-2003-19.html

. Exploração de Vulnerabilidades do Microsoft RPC
  http://www.rnp.br/cais/alertas/2003/CA200319.html

. Atualização do alerta MS03-026
  http://www.rnp.br/cais/alertas/2003/cais-alr-25072003.html

. Vulnerabilidade no RPC da Microsoft (823980)
  http://www.rnp.br/cais/alertas/2003/MS03-026.html

. Buffer Overrun In RPC Interface Could Allow Code Execution (823980)
  http://www.microsoft.com/technet/security/bulletin/ms03-026.asp


As informacoes disponiveis ate' o momento sobre o worm Blaster sao:

. Adiciona o valor "windows auto update"="msblast.exe" na chave de
  registro:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

. Pacotes direcionados a porta 135 que exploram a vulnerabilidade

. Nome do binario do worm: msblast.exe

. MD5SUM: 5ae700c1dffb00cef492844a4db6cd69 (6176 Bytes)

. O binario e' transferido por TFTP (69/UDP)


O CAIS recomenda aos administradores que mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com os boletins de seguranca e
correcoes disponibilizadas pelos fabricantes. Se possivel, e' recomendado
que sejam aplicados filtros para bloquear a entrada de pacotes com destino
a porta 135/UDP, e de pacotes de saida com destino a porta 69/UDP para
tentar conter a atividade do worm.

O CAIS estara' acompanhando de perto o desenrolar deste serio problema e
os mantera' informados.


Atenciosamente,

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP      #
#                                                              #
# cais em cais.rnp.br     http://www.cais.rnp.br                  #
# Tel. 019-37873300    Fax. 019-37873301                       #
# Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key #
################################################################

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8

iQCVAwUBPzgQ5ekli63F4U8VAQE74gP+PMnVd1WY12QxpjnpiEF/XzYKJzBhfDZA
Vx4wBSjA8GQJivMbor0bfEIT570w8hMjInMnrhtXbuMWThTW9dZHaAo2h11+6Xf9
3FCHG+QEbiykNiXpxwXsQqOkiEowftoKNgDPBx7JnV432uRStL6tAbEx8i4t5eel
yZ70JWggg1s=
=A2rS
-----END PGP SIGNATURE-----


----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L