Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1132

[MS/Generic] DCOM/RPC-Wurm im Umlauf (Update)
(2003-08-12 11:05:49.319743+00)

Quelle: http://isc.sans.org/diary.html?date=2003-08-11

Es ist ein Wurm im Umlauf, der zur Verbreitung die Ende Juli bekanntgewordene DCOM/RPC-Schwachstelle in Microsoft Windows verwendet. Der Wurm verbreitet sich über verwundbare Windows-2000- und Windows-XP-Systeme. Viele ISPs aktivierten Filter, die die Verbreitung begrenzen, die aber eventuell Nebenwirkungen aufweisen.

Betroffene Systeme
Von der DCOM/RPC-Schwachstelle sind betroffen:

Der Wurm nutzt Windows-2000- und Windows-XP-Systeme zur Verbreitung.

Abhängig davon, wie viele Systeme im eigenen Netz und weltweit befallen sind und welche Filter im Internet-Backbone aktiviert werden, kann es zu Netzstörungen kommen, die weitere Systeme beeinträchtigen.

Einfallstor
TCP-Port 135. Zur Weiterverbreitung ist Verkehr über UDP-Port 69 (TFTP, Port auf der Seite des Angreifers) und TCP-Port 4444 (beim Opfer) erforderlich.

Auswirkung
Das System beginnt nach weiteren Opfern zu Scannen und führt zu bestimmten Zeiten Denial of Service-Angriffe gegen windowsupdate.com durch.

Ein fehlgeschlagener Angriffsversuch auf ein prinzipiell verwundbares System führt häufig zu einem automatischen Neustart.

Ein Angreifer erhält einen Shellzugang auf Port 4444.

Zur Eindämmung des Wurmes eingeleitete Gegenmaßnahmen können die Verfügbarkeit von DCE RPC, TFTP und Diensten auf TCP-Port 4444 über das Internet beeinträchtigen. DCE-basierte Dienste (neben DCOM auch DFS) können dadurch in ihrer Verfügbarkeit eingeschränkt werden.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Seit etwa 2003-08-11 19:00 Uhr MESZ ist ein Wurm im Umlauf, der die Schwachstelle im DCOM/RPC-Service für Microsoft Windows ausnutzt (siehe [MS/Windows NT/2000/XP/2003] Kritische RPC-Schwachstelle). Der Wurm verwendet zwei Servicepack-unabhängige Exploits, jeweils für Windows 2000 und Windows XP. Der jeweilige Exploit wird zufällig ausgewählt. Die Übertragung des Wurmes nach erfolgreicher Kompromittierung erfolgt mit TFTP (UDP-Port 69) und TCP-Port 4444 (Zielport auf der Opferseite). Zur Eindämmung ist es also empfehlenswert, diese Ports zu filtern.

Symptome für einen Befall ist (neben dem unten erwähnten Portscan) das Vorhandensein einer Datei namens "msblast.exe" und ein neuer Eintrag unter SOFTWARE\Microsoft\Windows\CurrentVersion\Run mit dem Namen "windows auto update". Aufgrund von Suchpfad-Problemen ist es allerdings systemabhängig, ob der Wurm nach einem Neustart des Systems wieder aktiviert wird. Zusätzlich eröffnet der Wurm einen Shellzugang auf Port 4444. Erste Mutationen des Wurms weisen einen geänderten Dateinamen "penis32.exe" und "teekids.exe" auf.

Der Wurm sucht über einen Scan auf dem Port 135/TCP nach weiteren verwundbaren Systemen. Dabei wird etwa mit gleicher Wahrscheinlichkeit zwischen einer zufälligen Startadresse und einer Adresse im lokalen Netz gewählt. Ab der gewählten Adresse beginnt der Wurm sequentiell zu scannen. Theoretisch könnte dies ähnlich wie beim Slammer-Wurm zu einer Beeinträchtigung der Netzinfrastruktur führen, aber im Moment liegen noch keine Berichte über gravierende Probleme vor.

Eine Statistik über Scans auf TCP-Port 135 und die Zahl der Quellen zeigt, daß der Wurm sich vergleichsweise gut eindämmen läßt:

        time         | flows | sources 
---------------------+-------+---------
 2003-08-11 00:00:00 |  3357 |       7
 2003-08-11 01:00:00 | 18130 |       8
 2003-08-11 02:00:00 |   296 |       3
 2003-08-11 03:00:00 |   176 |       1
 2003-08-11 04:00:00 |   634 |       2
 2003-08-11 05:00:00 |   459 |       3
 2003-08-11 06:00:00 |  8484 |       7
 2003-08-11 07:00:00 |  2588 |       9
 2003-08-11 08:00:00 |  2761 |       7
 2003-08-11 09:00:00 |  5688 |       7
 2003-08-11 10:00:00 |  7154 |      11
 2003-08-11 11:00:00 |  3008 |      47
 2003-08-11 12:00:00 |  2509 |      11
 2003-08-11 13:00:00 |  1556 |       4
 2003-08-11 14:00:00 |   624 |       6
 2003-08-11 15:00:00 |  2879 |       8
 2003-08-11 16:00:00 |  3769 |       7
 2003-08-11 17:00:00 |  4895 |      48
 2003-08-11 18:00:00 |  4726 |      31
 2003-08-11 19:00:00 |  5374 |      54
 2003-08-11 20:00:00 | 14074 |      67
 2003-08-11 21:00:00 |  9679 |      43
 2003-08-11 22:00:00 |  6585 |      48
 2003-08-11 23:00:00 | 10420 |      47
 2003-08-12 00:00:00 | 11530 |      52
 2003-08-12 01:00:00 | 11873 |      52
 2003-08-12 02:00:00 |  7571 |      35
 2003-08-12 03:00:00 |  9667 |      43
 2003-08-12 04:00:00 |  7453 |      42
 2003-08-12 05:00:00 | 10220 |      36

Der Rückgang der Zahlen ist vermutlich auf Filtermaßnahmen bei großen ISPSs zurückzuführen. Diese Filter können DCE-basierte Dienste wie DFS beeinträchtigen.

Weiter Versionen

Gegenmaßnahmen

Immunisierung

Weitere Information zu diesem Thema

Revisionen dieser Meldung

(fw)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1132