http://at.g.pl/akt/dane/in10.html
Zniszczyc Windows!
O tym, ze produkty Microsoftu sa dziurawe, jak ser szwajcarski, wie kazdy z nas. Nie tak dawno mówilo sie o krytycznych lukach w usludze Microsoft Passport, a juz cierpimy przez kolejny "bledogenny" wynalazek.
Mowa tutaj o technologii RPC (Remote Procedure Call - zdalne wywolywanie procedur). Jej zadaniem jest umozliwienie zdalnej komunikacji pomiedzy dwoma procesami w Sieci. Dzieki temu program uruchomiony na danej maszynie moze wykonywac kod ulokowany na przeciwleglej koncówce. Jak przyznaje MS, nowy protokól oparty jest na rozwiazaniach opracowanych przez Open Software Foundation (Fundacja na Rzecz Otwartego Oprogramowania - OSF), oczywiscie wprowadzajac wlasne rozszerzenia. Czym sie konczy takie rozszerzanie na sile, wszyscy wiemy chocby na przykladzie Internet Explorera ;-)
Technologia zostala zaimplementowana we wszystkich systemach z rodziny NT, a zatem: Windows NT 4.0, Windows 2000, Windows XP oraz najnowszy Windows Server 2003. Wszystko psuje sie z powodu niewlasciwej obslugi komunikatów podrózujacych poprzez TCP/IP. Wystarczy wyswyslac odpowiednio spreparowane zapytanie, aby wywolac klasyczny blad przepelnienia bufora (ang. buffer overrun). Stad juz droga niedaleka do uzyskania pelnych praw dostepu.
Jak to zwykle bywa, niedlugo po ujawnieniu luki pojawil sie wirus wykorzystujacy fatalne niedopatrzenie. Wieczorem, 11 sierpnia zaatakowal nas W32.Blaster.Worm (alias Lovesan). Wyszukuje on w Sieci niezabezpieczone komputery i dokonuje próby infekcji. W swoim kodzie Blaster ma zawarte procedury do przeprowadzenia ataku DoS na witryne windowsupdate.com. 16 oraz 31 sierpnia, a takze od 1. wrzesnia do konca tego roku, kilkaset tysiecy zarazonych maszyn ma solidarnie dokonywac ataku. Rzecznik MS zapewnil jednak, ze w najgorszym przypadku skonczy sie to spowolnieniem dzialania serwisu WindowsUpdate.
A jak bylo naprawde? Nic wielkiego sie nie stalo, a wszystko przez drobny blad. Twórca Blastera zaprogramowal swe dzielo tak, aby przeprowadzalo atak na witryne
http://windowsupdate.com. Jak sie okazalo, to tylko alias do prawdziwej strony ukrytej pod adresem
http://windowsupdate.microsoft.com. W czwartek 14 sierpnia domena zostala wylaczona, natomiast uzytkownicy zainfekowanych komputerów mogli bezproblemowo pobrac niezbedne poprawki. Zagrozenie wciaz jednak istnieje - kto wie, czy zlosliwy programista nie naprawi swej pomylki.
Aby uniknac próby zainfekowania przez wirusa, wystarczy zablokowac w firewall-u port 135 dla svchost.exe - to na nim opiera sie usluga RPC. Czynnosc wykonujemy dla dwóch protokolów - TCP oraz UDP. Przezorni moga równiez postapic tak z trzema innymi portami: 139, 445 i 593. Microsoft wypuscil takze patch, dla kazdego systemu nieco zmodyfikowany. Równiez producenci programów antywirusowych zywo zareagowali na zagrozenie - Symantec oraz F-Secure wypuscili juz aplikacje majace usunac intruza z systemu.
° Windows NT 4.0 Server - wymagany Service Pack 6
° Windows NT 4.0 Terminal Server Edition - tu równiez wymagany jest odpowiedni Service Pack 6
° Windows 2000 (wszystkie edycje)
° Windows XP 32-bit (Home i Professional)
° Windows XP 64-bit
° Windows Server 2003 32-bit
° Windows Server 2003 64-bit
Jesli jednak wirus przedostal sie do naszego komputera, nie zalamujmy sie. Najczestszymi objawami "zalegniecia sie" Blastera jest pokazywanie co pewien czas systemowego okna dialogowego informujacego o koniecznosci restartu. Jako powód podany jest blad uslugi RPC. Restart nastepuje automatycznie po 1 minucie - mozemy przerwac odliczanie wydajac polecenie shutdown -a w oknie Uruchom z menu Start. Kiedy uda nam sie uniknac restartu, przejdzmy kombinacja Ctrl+Alt+Del do Menedzera zadan Windows - w zakladce Procesy znajdziemy msblast.exe. Plik ten jest ulokowany w folderze %SYSTEMROOT%system32, gdzie %SYSTEMROOT% to sciezka do folderu z naszym Windows-em. Oprócz tego musimy jeszcze uruchomic program msconfig i usunac zaznaczenie przy odpowiednim wpisie. Unikniemy wówczas prób odwolania do wirusa przy starcie systemu.
W miedzyczasie powstaly dwie nowe odmiany wirusa, ukrywajace sie w plikach penis32.exe (Blaster.
i teekids.exe (Blaster.C). Ten ostatni umieszcza kopie konia trojanskiego w plikach index.exe i root32.exe. Poza tym wszystkie trzy odmiany nie róznia sie niczym od siebie.
Warto wspomniec, iz krytyczna luke w RPC wykryla 16 lipca grupa polskich hakerów pod nazwa The Last Stage of Delirium. Czwórka poznanskich informatyków w skladzie Michal Chmielewski, Sergiusz Fornrobert, Adam Gowdiak i Tomasz Ostwald poinformowala MS o odkrytej dziurze.
Tak na marginesie, to blaster oznacza niszczyciel. Skoro MS na kazdym kroku ujawnia krytyczne bledy w swoich produktach, to moze lepiej bedzie faktycznie zniszczyc Windows i przesiasc sie na inna platforme. A moze by tak Linux?
Internet:
° Microsoft Security Bulletin MS03-026
°
http://www.microsoft.com/technet/treeview/...p?url=/technet/
° security/bulletin/MS03-026.asp
°
° The Last Stage of Delirium
°
http://www.lsd-pl.net
°
° W32.Blaster.Worm Removal Tool
°
http://securityresponse.symantec.com/avcenter/FixBlast.exe
°
:: Piotr Horzycki aka Piotrala ::
:: e-mail:
[email protected] ::
:: URL:
www.mwe.prv.pl ::
:: Gadu-Gadu: 1013039 ::
*******************************************************
pozdrawiam