[info] Vulnerabilitati Windows Optiuni

[Mihai]

WORM_SASSER.B este un vierme ce exploateaza vulnerabilitatea Microsoft MS04-011 ce permite initierea unui atac buffer overflow si executarea de cod arbitrar in scopul preluarii controlului asupra sistemului.

Dupa lansare WORM_SASSER.B:

1. Isi va face o copie cu numele %System%\AVSERVE2.EXE;

2. Ientru a se asigura ca va fi lansat la fiecare pornire a sistemului, va modifica registrii:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run avserve.exe = %Windows%\avserve2.exe

3. Spre deosebire de varianta precedenta ce cauta un singur mutex numit Jobaka3l, aceasta versiune va cauta sesiunile mutex: Jobaka3 si JumpallsNlsTillt

4. Pentru a se propaga, va scana adrese IP aleatoare pentru a gasi sisteme afectate de vulnerabilitatea MS04-011. Cand un sistem vulnerabil este gasit, va trimite un pachet special pentru a crea o eroare de tip buffer overflow pe LSASS.EXE. Pachetul pentru initierea buffer overflow va fi trimis pe portul 445/TCP, un port valid folosit de catre Windows 2000 pentru a transmite pachete SMB (Server Message Block) peste TCP si UDP.
Rezultatul erorii buffer overflow va permite acestui vierme sa monitorizeze un anumit port de unde va primi instructiuni pentru deschiderea unui shell de comanda.
Deschiderea unui shell de comanda va permite acestui vierme sa se autoruleze oricand anumite fisiere sunt executate sau deschise. Va crea apoi fisierul script CMD.FTP ce va contine instructiuni pentru ca sistemul vulnerabil sa descarce sis a execute o copie a acestui vierme prin FTP.
Sistemul gazda infectat va deschide apoi portul 5554/TCP pentru a accepta orice conexiune FTP de la sistemele infectate. Copia virusului ce va fi descarcata prin FTP va purta denumirea <numar aleator>_up.exe (ex:12345_up.exe) si va fi salvat in directorul Windows.
Dupa descarcare, va sterge CMD.FTP. Va fi creat un fisier de tip log WIN.LOG in directorul radacina. Acest fisier va contine numarul de sisteme pe care gazda le-a infectat, percum si ultimul IP pe care aceasta la scanat.

5. De vreme ce acest vierme va cauza o eroare buffer overflow in LSASS.EXE, va cauza generarea unei erori ce va necesita repornirea sistemului de operare:





Sursa: GeCAD.ro


Detalii despre Vulnerabilitatea Windows

Download Patch pentru Windows (Recomandat!)

Tool pentru Verificarea si Stergerea Worm-ului (Recomandat!)


Alte linkuri: Symantec.com, TrendMicro

[Mihai]

Vulnerabilitate in centrul de suport si ajutor din Microsoft Windows

Microsoft a anuntat lansarea unui patch pentru rezolvarea unei probleme aparute in centrul de suport si ajutor (Help and Support Center) din Microsoft Windows.

Vulnerabilitatea este cauzata de o eroare in validarea unor date de intrare, aceasta putand fi exploatata via protocolul HCP in Microsoft Windows Xp si Microsoft Windows 2003 prin Internet Explorer sau Outlook.

Versiuni afectate:
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional

Celelalte versiuni de Windows nu contin HCP si deci nu sunt afectate.

Patch-urile pentru aceasta vulnerabilitate sunt disponibile prin WindowsUpdate sau de la urmatoarele adrese:

Microsoft Windows XP si Microsoft Windows XP Service Pack 1
http://www.microsoft.com/downloads/details...&displaylang=en

Microsoft Windows XP 64-Bit Edition Service Pack 1
http://www.microsoft.com/downloads/details...&displaylang=en

Microsoft Windows XP 64-Bit Edition Version 2003
http://www.microsoft.com/downloads/details...&displaylang=en

Microsoft Windows Server 2003
http://www.microsoft.com/downloads/details...&displaylang=en

Microsoft Windows Server 2003 64-Bit Edition
http://www.microsoft.com/downloads/details...&displaylang=en

Vulnerabilitatea a fost anuntata de: http://www.microsoft.com
Pentru mai multe detalii: http://www.microsoft.com/technet/security/...n/MS04-015.mspx

Sursa: Gecad.ro, Simion PREDA