[Generic] Neuer UDP-basierter Wurm "Witty" verbreitet sich (Update)
(2004-03-20 10:47:09.803988+00)
Quelle:
http://isc.sans.org/diary.html?date=2004-03-20
Ein neuer Wurm verbreitet sich über UDP-Pakete und zerstört Festplatteninhalte. Ähnlich wie beim Slammer-Wurm kann es zur Überlastung des Netzes in der Nähe von infizierten Hosts kommen. Der Angriff richtet sich gegen Systeme, die die BlackICE- oder RealSecure-Software von ISS in verwundbaren Versionen einsetzen.
Betroffene Systeme
Laut ISS sind folgende Softwareprodukte betroffen (siehe Advisory):
- BlackICE Agent for Server 3.6 ebz, ecd, ece, ecf
- BlackICE PC Protection 3.6 cbz, ccd, ccf
- BlackICE Server Protection 3.6 cbz, ccd, ccf
- RealSecure Network 7.0, XPU 22.4 and 22.10
- RealSecure Server Sensor 7.0 XPU 22.4 and 22.10
- RealSecure Desktop 7.0 ebf, ebj, ebk, ebl
- RealSecure Desktop 3.6 ebz, ecd, ece, ecf
- RealSecure Guard 3.6 ebz, ecd, ece, ecf
- RealSecure Sentry 3.6 ebz, ecd, ece, ecf
Durch den vom Wurm erzeugten Netzverkehr können auch nicht direkt verwundbare Systeme in Mitleidenschaft gezogen werden.
Einfallstor
UDP-Paket mit Quellport 4000 und zufälligem Zielport. Das Paket muß nicht direkt an das Opfer gerichtet sein. Angriffe über eine Broadcast-Adresse sind erfolgreich. Ein Angriff auf einen passiven Sensor, der den Verkehr lediglich analysiert (aber nicht notwendigerweise weiterleitet), ist ebenfalls möglich.
Auswirkung
Ein befallenes System verschickt in rascher Folge UDP-Pakete mit Quellport 4000 und zufälligem Zielport, an zufällige Adressen (ähnlich dem Slammer-Wurm). Außerdem werden zufällig ausgewählte Bereiche der Festplatte überschrieben.
Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Ein UDP-basierter Wurm, genannt "Witty" oder auch "Blackworm", verbreitet sich seit 2004-03-19 05:46 MEZ. Laut ISC SANS sind Microsoft-Windows-Systeme mit den ISS-Produkten BlackICE und RealSecure in den eingangs genannten Versionen anfällig. Der Wurm nutzt die von EEYE bekanntgegebene Schwachstelle für den Angriff aus.
Die verschickten UDP-Pakete haben in der überwältigenden Mehrheit als Quellport 4000, der Zielport ist zufällig gewählt (teilweise auch unter 1024), die Zieladresse ebenfalls. Die Paketgröße schwankt zwischen 769 und über 1250 Bytes. Alle Pakete enthalten die Zeichenkette "insert witty message here
". Ein Teil der Pakete hat andere Quellports außer 4000, die ebenfalls zufällig erscheinen. Diese Pakete werden wahrscheinlich durch NAT/Masquerading erzeugt, da dabei typischerweise der Quellport verändert wird. Damit der Angriff durch den Wurm erfolgreich ist, muß der Quellport allerdings 4000 sein, d.h. die durch NAT veränderten Pakete stellen keine Bedrohung für RealSecure- bzw. BlackICE-Systeme dar.
Wie beim Slammer-Wurm kann der Verkehr zu einem Denial of Service-Angriff auf die Netzanbindung betroffener Systeme führen. Sowohl die Bandbreite an sich als auch die zufällige Auswahl der Zieladressen können eine Überlastung der Netzkomponenten verursachen.
Update: Zusätzlich überschreibt der Wurm zufällig ausgewählte Bereiche auf den Festplatten des Systems. Die Zerstörung betrifft auch Dateisystem-Metadaten. Mit der Zeit wird das System dadurch unbrauchbar und stürzt i.d.R. ab.
Die Anzahl der aktiven, infizierten Systeme im Internet scheint inzwischen rückläufig zu sein. Während gegen 2004-03-20 11:35 MEZ noch 7 Angriffspakete pro Sekunde und 10.000 Zieladressen beobachtet wurden, liegt der Wert nun bei 0,6. Die Gesamtzahl aller infizierten Systeme beläuft sich mittlerweile allerdings auf mehrere zehntausend.
Gegenmaßnahmen
- Als Notfallmaßnahme sollte eine Sperre von Paketen mit Quellport 4000 vor der verwundbaren Infrastruktur in Betracht gezogen werden. Diese Sperre kann jedoch unerwünschte Nebenwirkungen haben und z.B. DNS-Verkehr oder regulären ICQ-Verkehr beeinträchtigen. Entgegen unseren Befürchtungen ist diese Maßnahme trotz der Pakete, die nicht Quellport 4000 tragen, wirksam, weil über diese Pakete kein Angriff möglich ist.
- Ein Upgrade auf BlackICE 3.6cfg bzw. eine korrigierte RealSecure-Version schützt die Systeme vor den Angriffen dieses Wurms.
- Von einer Festplatte, deren Datenstrukturen durch den Wurm beschädigt wurden, lassen sich wahrscheinlich noch einzelne Dateien wiedergewinnen. Eine Wiederherstellung durch Neuinstallation und Rückspielen der Sicherung dürfte in den meisten Fällen aber der empfehlenswerte Weg sein, um dem Problem der unentdeckten Datenveränderung durch den Wurm zu begegnen.
Weitere Information zu diesem Thema
- Internet Security Systems PAM ICQ Server Response Processing Vulnerability (EEYE)
- Internet Security Systems Security Alert, Vulnerability in ICQ Parsing in ISS Products (IIS)
- BlackICE Witty Worm Propagation (IIS)
- F-Secure Virus Descriptions: Witty (F-Secure)
- W32.Witty.Worm (Symantec)
Revisionen dieser Meldung
- V 1.0 (2004-03-20)
- V 1.1 (2004-03-20) Die Namen "Witty" und "Blackworm" wurden hinzugefügt.
- V 1.2 (2004-03-20) Hinweis auf zufällige Quellports, vermutlich durch NAT/Masquerading.
- V 2.0 (2004-03-22) RealSecure auch betroffen, Datenzerstörung erwähnt, Quellports ungleich 4000 sind unkritisch
- V 2.1 (2004-03-22) Klarstellung: Angriff auch auf passiv lauschende Sensoren möglich
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1189