[SECURITY-L] CAIS-Resumo: Abril a Junho de 2003
Daniela Regina Barbetti Silva
daniela em ccuec.unicamp.br
Qua Jun 11 11:05:00 -03 2003
----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Resumo: Abril a Junho de 2003
To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Wed, 11 Jun 2003 10:53:21 -0300 (BRT)
-----BEGIN PGP SIGNED MESSAGE-----
************************************************************************
CAIS Resumo
Alertas, vulnerabilidades e incidentes de segurança
Publicação trimestral do Centro de Atendimento a Incidentes de Segurança
da Rede Nacional de Ensino e Pesquisa
Abril a Junho de 2003
========================================================================
Como e´ de conhecimento da comunidade atuante na area de seguranca, o
CERT/CC divulga a cada tres meses o CERT Summary, fazendo um resumo sobre
os alertas, vulnerabilidades e incidentes ocorridos nos ultimos meses.
Analogamente ao trabalho desenvolvido pelo CERT, O CAIS divulga uma
publicacao em separado, o "CAIS Resumo", que segue a mesma filosofia,
porem com foco nos dados registrados pelo CAIS e na realidade das redes
brasileiras.
Neste segundo CAIS Resumo sao abordados os alertas, vulnerabilidades e
demais acontecimentos que se destacaram na area de seguranca no segundo
trimestre de 2003.
________________________________________________________________________
DESTAQUES
1. No dia 29 de marco, o CERT/CC divulgou o alerta CA-2003-12 tratando de
vulnerabilidade remota no Sendmail. No mesmo dia o CAIS reportou um
alerta sobre esta seria vulnerabilidade, uma vez que o Sendmail e' o
MTA de maior uso na Internet e o impacto da exploracao poderia ser
catastrofico.
2. No dia 2 de abril, o CAIS divulgou o alerta ALR-02042003 tratando da
crescente atividade de fraudes em Internet Banking. Este tipo de fraude
bancaria tem se expandido e continua sendo uma seria ameaca para os
usuarios destes servicos.
3. No dia 17 de abril, o CERT/CC divulgou o alerta CA-2003-13 tratando de
vulnerabilidades no Snort que e' uma das ferramentas de deteccao de
intrusao (IDS) de maior uso hoje na Internet. Uma das vulnerabilidades
permitia comprometer o sistema sem que o atacante conhecesse o IP do
sistema IDS. Foi o segundo alerta do ano relacionado com a ferramenta
Snort.
4. No dia 14 de maio, o CAIS divulgou alerta relacionado com a propagacao
do worm "Fizzer". A propagacao deste worm era realizada atraves do
aplicativo P2P Kazaa ou por e-mail. As principais caracteristicas do
worm incluiam: possuir ferramentas de negacao de servico (DoS) e de
captura de dados digitados ("keylogger"), assim como o envio massivo de
mensagens ("mass-mailing").
5. Ainda no dia 14 de maio, o CAIS divulgou alerta relacionado com o
aumento de atividade de reconhecimento na porta 17300/tcp. A
constatacao e analise desta atividade foi possivel gracas ao mecanismo
de monitoracao de acessos a portas mantido pelo CAIS. Foi possivel
identificar que tais acessos estavam diretamente relacionados com a
atividade de um meta-trojan denominado "Milkit".
6. No dia 4 de junho, o CAIS divulgou alerta relacionado com o aumento de
atividade de reconhecimento na porta 901/tcp. A constatacao e analise
desta atividade foi possivel gracas ao mecanismo de monitoracao de
acessos a portas mantido pelo CAIS. Sao duas as possiveis
causas desta atividade: o desenvolvimento de uma nova versao do trojan
"Net.Devil" ou uma forma alternativa de se identificar sistemas que
possuem Samba ja' que a porta 901 e' utilizada pelo Swat (Samba Web
Admin Tool) que e' a ferramenta de administracao web do Samba.
7. No dia 5 de junho, o CAIS divulgou alerta relacionado com o aumento de
atividade de reconhecimento na porta 161 - SNMP. A constatacao e
analise desta atividade foi possivel gracas ao mecanismo de monitoracao
de acessos a portas mantido pelo CAIS. As portas mencionadas sao
normalmente utilizadas pelo SNMP, Simple Network Management Protocol,
protocolo amplamente usado no gerenciamento de redes TCP/IP. Sistemas
SNMP vulneraveis sao potenciais alvos de ataques com resultados serios
em razao da sua larga utilizacao em equipamentos estrategicos para a
infraestrura de redes.
8. No dia 6 de junho, o CAIS divulgou alerta relacionado com a propagacao
do worm "W32.BugBear.B". A nova variante do worm "BugBear" instalava
uma ferramenta de captura de dados digitados (keylogger) e deixava um
backdoor na maquina infectada (porta 1080) que podia ser utilizado para
acesso posterior. O CAIS criou um ambiente de analise em laboratorio a
fim de identificar as caracteristicas do worm.
________________________________________________________________________
ALERTAS
Os alertas divulgados ou repassados pelo CAIS, com maior destaque e
repercussao nos ultimos tres meses de 2003, sao listados abaixo e
estao disponiveis em: http://www.rnp.br/cais/alertas/2003/
Alerta do CAIS ALR-06062003
Propagação do worm W32.BugBear.B
[CAIS, 06.06.2003]
Alerta do CAIS ALR-05062003
Aumento de atividade na porta 161 - SNMP
[CAIS, 05.06.2003]
Alerta do CAIS ALR-04062003
Aumento de atividade na porta 901/tcp
[CAIS, 04.06.2003]
Microsoft Security Bulletin MS03-020
Patch Acumulativo para o Internet Explorer (818529)
[Microsoft, 04.06.2003]
CERT Summary CS-2003-02
[Cert, 03.06.2003]
Microsoft Security Bulletin MS03-019
Vulnerabilidade no ISAPI Extension do Windows Media Services (817772)
[Microsoft, 28.05.2003]
Microsoft Security Bulletin MS03-018
Patch Acumulativo para o IIS (811114)
[Microsoft, 28.05.2003]
Alerta do CAIS ALR-14052003
Aumento de atividade na porta 17300/tcp
[CAIS, 14.05.2003]
AUSCERT AL-2003.07
Propagação do Worm Fizzer
[Auscert, 13.05.2003]
Microsoft Security Bulletin MS03-017
Vulnerabilidade no Windows Media Player (817787)
[Microsoft, 07.05.2003]
Microsoft Security Bulletin MS03-016
Patch Acumulativo para o Microsoft BizTalk Server (815206)
[Microsoft, 30.04.2003]
Alerta do CAIS ALR-25042003
Exploração da Vulnerabilidade do WebDAV (IIS 5.0)
[CAIS, 25.04.2003]
Microsoft Security Bulletin MS03-015
Patch Acumulativo para o Internet Explorer (813489)
[Microsoft, 23.04.2003]
Microsoft Security Bulletin MS03-014
Patch Acumulativo para o Outlook Express (330994)
[Microsoft, 23.04.2003]
CERT Advisory CA-2003-13
Múltiplas vulnerabilidades no Snort
[Cert, 17.04.2003]
Microsoft Security Bulletin MS03-013
Vulnerabilidade no Kernel do Windows (811493)
[Microsoft, 16.04.2003]
Microsoft Security Bulletin MS03-012
Vulnerabilidade no Microsoft Winsock Proxy e ISA Firewall (331066)
[Microsoft, 09.04.2003]
Microsoft Security Bulletin MS03-011
Vulnerabilidade no Microsoft virtual machine (816093)
[Microsoft, 09.04.2003]
Advisories/Seti em home
Vulnerabilidade no aplicativo SETI em home
[Seti em home, 07.04.2003]
Security Advisory DDI-1013
Nova vulnerabilidade no SAMBA
[Digital Defense, 07.04.2003]
Alerta do CAIS ALR-02042003
Fraudes em Internet Banking
[CAIS, 02.04.2003]
Cert Advisory CA-2003-12
Remote Buffer Overflow in Sendmail - Nova vulnerabilidade
[Cert, 29.03.2003]
CAIS Resumo RES-012003
[CAIS, 27.03.2003]
Microsoft Security Bulletin MS03-010
Vulnerabilidade no Microsoft RPC Endpoint Mapper (331953)
[Microsoft, 26.03.2003]
Cert Advisory CA-2003-11
Multiple Vulnerabilities in Lotus Notes and Domino
[Cert, 26.03.2003]
CERT Summary CS-2003-01
[Cert, 21.03.2003]
CERT Advisory CA-2003-10
Vulnerabilidade na biblioteca XDR
[Cert, 19.03.2003]
Microsoft Security Bulletin MS03-009
Vulnerabilidade existente na implementação da detecção de intrusão do ISA
[Microsoft, 19.03.2003]
Microsoft Security Bulletin MS03-008
Vulnerabilidade existente na implementação do Windows Script Engine
[Microsoft, 19.03.2003]
________________________________________________________________________
CAIS NA MIDIA
A seguir, sao listadas algumas reportagens (artigos, entrevistas
concedidas pela equipe do CAIS, etc), relacionadas aos temas destacados
anteriormente:
"Técnicos do CAIS dão curso de auditoria durante WSEG"
[Notícias RNP, 02.06.2003]
"CSIRTs no Brasil: disseminadores da cultura de segurança"
[Módulo Security Magazine, 26.05.2003]
"Técnicos da RNP vencem desafio do SANS"
[Notícias RNP, 20.05.2003]
"Spam: quanto se perde e como evitar? - Parte1"
[Módulo Security Magazine, 28.04.2003]
"CAIS/RNP lança documento trimestral sobre segurança"
[Módulo Security Magazine, 27.03.2003]
________________________________________________________________________
NOTAS
O CAIS ressalta que manter os sistemas e aplicativos atualizados, seguir
uma politica de seguranca, orientar os usuarios, sao algumas das praticas
recomendadas para diminuir os riscos de comprometimento de sua rede, alem
de contribuir para o aumento da seguranca da Internet como um todo.
O CAIS recomenda aos administradores que se mantenham cientes e
conscientes dos alertas, correcoes e atualizacoes disponibilizadas pelos
fabricantes e orgaos de renome na area de seguranca.
========================================================================
CAIS
Centro de Atendimento a Incidentes de Segurança
Rede Nacional de Ensino e Pesquisa
http://www.cais.rnp.br
cais em cais.rnp.br
(19) 3787-3300
(19) 3787-3301 [fax]
Chave PGP do CAIS disponível em:
http://www.cais.rnp.br/cais-pgp.key
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQCVAwUBPuc0Wekli63F4U8VAQFhGwQAm4dw0Nx2v+GywMx9NFWg99yMZ4ras3hq
W7xM7eaJzs6jZqA50kOJYhcXGyL33NFKE5fP2a4Gtdz9ZdTXZVaWFakXDD7818wK
daWqcEGQHvCTjT5y3Oowm66s1YwhYSRNwFOJYMTp9g0/5AzKzEoM4J7o2ScVHle+
wKvizxZM7fA=
=KhI7
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L