Es ist ein Wurm im Umlauf, der zur Verbreitung die Ende Juli bekanntgewordene DCOM/RPC-Schwachstelle in Microsoft Windows verwendet. Der Wurm verbreitet sich über verwundbare Windows-2000- und Windows-XP-Systeme. Viele ISPs aktivierten Filter, die die Verbreitung begrenzen, die aber eventuell Nebenwirkungen aufweisen.

Betroffene Systeme
Von der DCOM/RPC-Schwachstelle sind betroffen:

• Microsoft Windows NT 4.0
• Microsoft Windows NT 4.0 Terminal Services Edition
• Microsoft Windows 2000
• Microsoft Windows XP
• Microsoft Windows Server 2003

Der Wurm nutzt Windows-2000- und Windows-XP-Systeme zur Verbreitung.

Abhängig davon, wie viele Systeme im eigenen Netz und weltweit befallen sind und welche Filter im Internet-Backbone aktiviert werden, kann es zu Netzstörungen kommen, die weitere Systeme beeinträchtigen.

Einfallstor
TCP-Port 135. Zur Weiterverbreitung ist Verkehr über UDP-Port 69 (TFTP, Port auf der Seite des Angreifers) und TCP-Port 4444 (beim Opfer) erforderlich.

Auswirkung
Das System beginnt nach weiteren Opfern zu Scannen und führt zu bestimmten Zeiten Denial of Service-Angriffe gegen windowsupdate.com durch.

Ein fehlgeschlagener Angriffsversuch auf ein prinzipiell verwundbares System führt häufig zu einem automatischen Neustart.

Ein Angreifer erhält einen Shellzugang auf Port 4444.

Zur Eindämmung des Wurmes eingeleitete Gegenmaßnahmen können die Verfügbarkeit von DCE RPC, TFTP und Diensten auf TCP-Port 4444 über das Internet beeinträchtigen. DCE-basierte Dienste (neben DCOM auch DFS) können dadurch in ihrer Verfügbarkeit eingeschränkt werden.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Seit etwa 2003-08-11 19:00 Uhr MESZ ist ein Wurm im Umlauf, der die Schwachstelle im DCOM/RPC-Service für Microsoft Windows ausnutzt (siehe [MS/Windows NT/2000/XP/2003] Kritische RPC-Schwachstelle). Der Wurm verwendet zwei Servicepack-unabhängige Exploits, jeweils für Windows 2000 und Windows XP. Der jeweilige Exploit wird zufällig ausgewählt. Die Übertragung des Wurmes nach erfolgreicher Kompromittierung erfolgt mit TFTP (UDP-Port 69) und TCP-Port 4444 (Zielport auf der Opferseite). Zur Eindämmung ist es also empfehlenswert, diese Ports zu filtern.

Symptome für einen Befall ist (neben dem unten erwähnten Portscan) das Vorhandensein einer Datei namens "msblast.exe" und ein neuer Eintrag unter SOFTWARE\Microsoft\Windows\CurrentVersion\Run mit dem Namen "windows auto update". Aufgrund von Suchpfad-Problemen ist es allerdings systemabhängig, ob der Wurm nach einem Neustart des Systems wieder aktiviert wird. Zusätzlich eröffnet der Wurm einen Shellzugang auf Port 4444. Erste Mutationen des Wurms weisen einen geänderten Dateinamen "penis32.exe" und "teekids.exe" auf.

Der Wurm sucht über einen Scan auf dem Port 135/TCP nach weiteren verwundbaren Systemen. Dabei wird etwa mit gleicher Wahrscheinlichkeit zwischen einer zufälligen Startadresse und einer Adresse im lokalen Netz gewählt. Ab der gewählten Adresse beginnt der Wurm sequentiell zu scannen. Theoretisch könnte dies ähnlich wie beim Slammer-Wurm zu einer Beeinträchtigung der Netzinfrastruktur führen, aber im Moment liegen noch keine Berichte über gravierende Probleme vor.

Eine Statistik über Scans auf TCP-Port 135 und die Zahl der Quellen zeigt, daß der Wurm sich vergleichsweise gut eindämmen läßt:

        time         | flows | sources 
---------------------+-------+---------
 2003-08-11 00:00:00 |  3357 |       7
 2003-08-11 01:00:00 | 18130 |       8
 2003-08-11 02:00:00 |   296 |       3
 2003-08-11 03:00:00 |   176 |       1
 2003-08-11 04:00:00 |   634 |       2
 2003-08-11 05:00:00 |   459 |       3
 2003-08-11 06:00:00 |  8484 |       7
 2003-08-11 07:00:00 |  2588 |       9
 2003-08-11 08:00:00 |  2761 |       7
 2003-08-11 09:00:00 |  5688 |       7
 2003-08-11 10:00:00 |  7154 |      11
 2003-08-11 11:00:00 |  3008 |      47
 2003-08-11 12:00:00 |  2509 |      11
 2003-08-11 13:00:00 |  1556 |       4
 2003-08-11 14:00:00 |   624 |       6
 2003-08-11 15:00:00 |  2879 |       8
 2003-08-11 16:00:00 |  3769 |       7
 2003-08-11 17:00:00 |  4895 |      48
 2003-08-11 18:00:00 |  4726 |      31
 2003-08-11 19:00:00 |  5374 |      54
 2003-08-11 20:00:00 | 14074 |      67
 2003-08-11 21:00:00 |  9679 |      43
 2003-08-11 22:00:00 |  6585 |      48
 2003-08-11 23:00:00 | 10420 |      47
 2003-08-12 00:00:00 | 11530 |      52
 2003-08-12 01:00:00 | 11873 |      52
 2003-08-12 02:00:00 |  7571 |      35
 2003-08-12 03:00:00 |  9667 |      43
 2003-08-12 04:00:00 |  7453 |      42
 2003-08-12 05:00:00 | 10220 |      36

Weiter Versionen

Abgeänderte Versionen des Wurmes weisen einen geänderten Dateinamen "penis32.exe" und "teekids.exe" auf bzw. erzeugen einen Registry-Eintrag mit dem Namen "Microsoft Inet Xp.."="teekids.exe". Letztgenannte Version enthält auch die Dateien "index.exe" und "root32.exe" womit ein Trojaner installiert wird, der standardmäßig auf Port 31416 hört.

Gegenmaßnahmen

• Um die Verbreitung dieses Wurmes im eigenen Netz einzudämmen, kann UDP-Port 69 (TFTP) und TCP-Port 4444 gefiltert werden, selbst wenn eine generelle Sperre für 135/TCP nicht möglich ist.
• Inzwischen stellen die meisten Antiviren-Hersteller Signatur-Updates bereit, die verhindern, daß ein angegriffenes, verwundbares System den Wurm weiterverbreitet.
• Trend Micro stellt ein Programm zum Entfernen des Wurms bereit und beschreibt die manuelle Entfernung.
• Symantec stellt ein Programm zum Entfernen des Wurms bereit.
• NAI/McAfee stellt ein Programm zum Entfernen des Wurms bereit.

Immunisierung

• Zur Verhinderung einer erneuten Infektion müssen die im RUS-CERT Advisory zur DCOM/RPC-Schwachstelle enthaltenen Patches eingespielt werden.

Weitere Information zu diesem Thema

• Microsoft Security Bulletin MS03-026 Buffer Overrun In RPC Interface Could Allow Code Execution (823980)
• Microsoft Security Bulletin MS03-026 dt. Fassung des MS03-026
• W32/Lovsan.worm (McAfee)
• WORM_MSBLAST.A (Trend Micro)
• Lovsan (F-Secure)
• Microsoft DCOM RPC Worm Alert (Symantec)
• "MS Blast" MSRPC DCOM Worm Propagation
• CERT/CC Advisory CA-2003-20: W32/Blaster worm (CERT/CC)

Revisionen dieser Meldung

• V.1.0 (2003-08-11)
• V.1.1 (2003-08-11) Filterung von 4444/TCP empfohlen
• V.2.0 (2003-08-11) Weitere Information verfügbar: Windows XP auch durch den Wurm bedroht, Filter aktiviert
• V.2.1 (2003-08-14) Hinweis bzgl. Mutationen des W32/Blaster-Wurms sowie weitere Werkzeuge zum Entfernen des Wurms hinzugefügt
• V.3.0 (2003-08-20) Weitere Varienten des Wurmes mit erweiterter Schadfunktion

Weitere Artikel zu diesem Thema:

• [MS/Windows NT/2000/XP/Server 2003] Kritische Schwachstellen in RPCSS-Dienst (2003-09-10)
  Zwei Pufferüberlaufschwachstellen im Remote Procedure Call Server Service (RPCSS) ermöglichen durch das Senden speziell formulierter Requests die Kompromittierung des beherbergenden Rechnersystems. Eine Denial-of-Service-Schwachstelle führt zur Nichtverfügbarkeit des RPC-Dienstes.
• [Generic/DCE] Denial of Service Angriff durch RPC-Anfrage (Update) (2003-08-11)
  Verschiedene Distributed Computing Environment (DCE) Implementierungen weisen eine Denial of Service (DoS) Schwachstelle auf. Diese Schwachstelle wird z.B. beim Scannen nach bzgl. MS03-026 verwundbaren Microsoft Betriebssystemen nicht intendiert ausgenutzt, wodurch der DCE-Dienst bis zu einem Neustart gestört wird.
• [MS/Windows NT/2000/XP/2003] Kritische RPC-Schwachstelle (Exploitcode verfügbar) (2003-07-25)
  Der RPC-Dienst von Windows NT/2000/XP/2003 weist eine kritische Pufferüberlaufschwachstelle auf, durch die Angreifer ohne vorherige Authentifizierung mittels einer RPC-Anfrage das beherbergende Rechnersystem über eine Netzwerkverbindung kompromittieren können. Neben den ursprünglich von Microsoft genannten Einfallstoren sind weitere Angriffswege möglich. Mittlerweile ist ein Exploitcode verfügbar, der einem Angreifer eine Systemkompromittierung mittels einer Verbindung zu TCP-Port 135 erlaubt.
• [MS/Windows 2000] Weitere Schwachstelle in Windows 2000 RPC-Schnittstelle (2003-07-24)
  Der RPC-Dienst von Windows 2000 weist eine weitere Schwachstelle auf, die zumindest zu einem Denial of Service Angriff ausgenutzt werden kann.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/