Som de fleste sikkert nå vet, slapp Microsoft igår kveld en "out of cycle" oppdatering som fikser en svært alvorlig svakhet i Server Service. Svakheten kan utnyttes vha RPC-kall gjennom port 139/tcp og 445/tcp uten autentisering (for Windows 2000/XP/2003). For flere detaljer rundt svakheten, les Microsofts sikkerhetsbulletin på http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx.
Svakheten er spesielt kritisk da dette er en ideell angrepsvektor for automatisert spredning av malware (ormer).
For å utnytte svakheten kreves det at brannmuren enten er slått av, eller at File/Printer Sharing er slått på. De aller fleste brukere vil være beskyttet av ekstern brannmur/router mot internett, men interne nettverk vil være svært utsatt hvis en slik orm først kommer på innsiden.
Det er allerede blitt observert en slik orm det siste døgnet, og denne har fått navnet Gimmiv.A.
Når denne ormen eksekveres på et system droppes det en fil under \windows\system32\wbem\sysmgr.dll, samt at den blir installert som en service på systemet.
Når sysmgr-servicen starter samles det inn blant annet forskjellige brukernavn/passord fra systemet, som så sendes kryptert til C&C-server.
I tillegg sjekkes det for enkelte spesifikke antivirus-produkter før det blir lastet ned og eksekvert oppdateringer for denne ormen.
Etter oppdateringen blir det droppet tre dll-filer under \windows\system32\wbem; syicon.dll, basesvc.dll og winbase.dll.
Disse dll-filene injectes i svchost-prosessen og kommuniserer mot C&C. Spesielt interessant er basesvc.dll som inneholder selve exploit-koden for denne svakheten:
C&C-servere:
Når Gimmiv.A eksekveres forsøker den å kontakte følgende adresser på port 80/tcp:
59.106.145.58
perlbody.t35.com
summertime.1gokurimu.com
doradora.atzend.com
I tillegg sendes det Icmp Echo til følgende adresser:
212.227.93.146
64.233.189.147
202.108.22.44
med payload "abcde12345fghij6789".
Anbefalinger:
Først og fremst anbefaler vi å få installert den siste oppdateringen fra Microsoft så fort som mulig. Det er allerede observert malware som utnytter svakheten, og det har blitt publisert proof-of-concept som viser hvordan denne kan utnyttes. Man kan forvente at denne svakheten vil bli utnyttet i større skala innen forholdsvis kort tid.
I tillegg anbefales å logge og blokkere trafikk mot ip-adressene nevnt over for å finne eventuelle infiserte Gimmiv.A-klienter.
For mer info om svakheten, se også http://blogs.technet.com/swi/archive/2008/10/23/More-detail-about-MS08-067.aspx
Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.
fredag 24. oktober 2008
Utnyttelse av MS08-067
Abonner på:
Legg inn kommentarer (Atom)
Ingen kommentarer:
Legg inn en kommentar