A20030813: Actividade de worm W32Blaster

Categoria: Alertas

quarta, 13 agosto 2003 14:35

A worm explora uma vulnerabilidade bem conhecida na interface RPC do Windows. Depois de conseguida a execução no sistema a comprometer, é feito download do ficheiro msblast.exe a partir de PC comprometido, este ficheiro é depois executado para tentar comprometer outros sistemas. Alerta de segurança
Identificação: A20030813
Data publicação: 13-Ago-2003,17h00 (WEST)
Referências/fontes: CERT/CC (www.cert.org)

CERT.PT (www.cert.pt)

I. Assunto

Actividade de worm conhecida pelo nome de W32/Blaster, que explora uma vulnerabilidade na interface Remote Procedure Call (RPC) do Windows.

II. Descrição

A worm explora uma vulnerabilidade bem conhecida na interface RPC do Windows. Depois de conseguida a execução no sistema a comprometer, é feito download do ficheiro msblast.exe a partir de PC comprometido, este ficheiro é depois executado para tentar comprometer outros sistemas.
No decurso da propagação da worm, é usada uma sessão TCP ao porto 135 para execução do ataque. Os portos 139 e 445 (TCP) também poderão ser usados para o ataque.

III. Impacto

O atacante pode executar código arbitrário na máquina atacada ou causar uma negação de serviço.

IV. Sistemas vulneráveis/afectados

* Microsoft Windows NT 4.0
* Microsoft Windows 2000
* Microsoft Windows XP
* Microsoft Windows Server 2003

V. Resolução

Aplicação de remendos do fabricante (Consultar Informações adicionais). Configurar os sistemas para bloquear acessos aos portos que podem ser usados para ataques ao sistema.

VI. Informações adicionais

Alerta do CERT/CC:

http://www.cert.org/advisories/CA-2003-20.html

Alerta da Microsoft:

http://microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp