[HaBo]

DelumaX

Hier die Infos vom RUS-CERT bzgl .des Wurms. Ich hoffe das weitgehend alle Fragen beantwortet sind und sich somit weitere Postings erübrigen...


[MS/Generic] DCOM/RPC-Wurm im Umlauf (Update)
(2003-08-11 22:23:14.622823+02)
Quelle: http://isc.sans.org/diary.html?date=2003-08-11

Es ist ein Wurm im Umlauf, der zur Verbreitung die Ende Juli
bekanntgewordene DCOM/RPC-Schwachstelle in Microsoft Windows
verwendet. Der Wurm verbreitet sich über verwundbare Windows-2000- und
Windows-XP-Systeme. Viele ISPs aktivierten Filter, die die Verbreitung
begrenzen, die aber eventuell Nebenwirkungen aufweisen.

Betroffene Systeme
Von der DCOM/RPC-Schwachstelle sind betroffen:
* Microsoft Windows NT 4.0
* Microsoft Windows NT 4.0 Terminal Services Edition
* Microsoft Windows 2000
* Microsoft Windows XP
* Microsoft Windows Server 2003

Der Wurm nutzt Windows-2000- und Windows-XP-Systeme zur Verbreitung.

Abhängig davon, wie viele Systeme im eigenen Netz und weltweit
befallen sind und welche Filter im Internet-Backbone aktiviert werden,
kann es zu Netzstörungen kommen, die weitere Systeme beeinträchtigen.

Einfallstor
TCP-Port 135. Zur Weiterverbreitung ist Verkehr über UDP-Port 69
(TFTP, Port auf der Seite des Angreifers) und TCP-Port 4444 (beim
Opfer) erforderlich.

Auswirkung
Das System beginnt nach weiteren Opfern zu Scannen und führt zu
bestimmten Zeiten Denial of Service-Angriffe gegen windowsupdate.com
durch.

Ein fehlgeschlagener Angriffsversuch auf ein prinzipiell verwundbares
System führt häufig zu einem automatischen Neustart.

Zur Eindämmung des Wurmes eingeleitete Gegenmaßnahmen können die
Verfügbarkeit von DCE RPC, TFTP und Diensten auf TCP-Port 4444 über
das Internet beeinträchtigen. DCE-basierte Dienste (neben DCOM auch
DFS) können dadurch in ihrer Verfügbarkeit eingeschränkt werden.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur [1]Einstufung des Gefahrenpotentials.)

Beschreibung
Seit etwa 2003-08-11 19:00 Uhr MESZ ist ein Wurm im Umlauf, der die
Schwachstelle im DCOM/RPC-Service für Microsoft Windows ausnutzt
(siehe [2][MS/Windows NT/2000/XP/2003] Kritische RPC-Schwachstelle).
Der Wurm verwendet zwei Servicepack-unabhängige Exploits, jeweils für
Windows 2000 und Windows XP. Der jeweilige Exploit wird zufällig
ausgewählt. Die Übertragung des Wurmes nach erfolgreicher
Kompromittierung erfolgt mit TFTP (UDP-Port 69) und TCP-Port 4444
(Zielport auf der Opferseite). Zur Eindämmung ist es also
empfehlenswert, diese Ports zu filtern.

Symptome für einen Befall ist (neben dem unten erwähnten Portscan) das
Vorhandensein einer Datei namens "msblast.exe" und ein neuer Eintrag
unter SOFTWARE\Microsoft\Windows\CurrentVersion\Run mit dem Namen
"windows auto update". Aufgrund von Suchpfad-Problemen ist es
allerdings systemabhängig, ob der Wurm nach einem Neustart des Systems
wieder aktiviert wird.

Der Wurm sucht über einen Scan auf dem Port 135/TCP nach weiteren
verwundbaren Systemen. Dabei wird etwa mit gleicher Wahrscheinlichkeit
zwischen einer zufälligen Startadresse und einer Adresse im lokalen
Netz gewählt. Ab der gewählten Adresse beginnt der Wurm sequentiell zu
scannen. Theoretisch könnte dies ähnlich wie beim Slammer-Wurm zu
einer Beeinträchtigung der Netzinfrastruktur führen, aber im Moment
liegen noch keine Berichte über gravierende Probleme vor.

Eine Statistik über Scans auf TCP-Port 135 und die Zahl der Quellen
zeigt, daß der Wurm sich vergleichsweise gut eindämmen läßt:

time | flows | sources
---------------------+-------+---------
2003-08-11 00:00:00 | 3357 | 7
2003-08-11 01:00:00 | 18130 | 8
2003-08-11 02:00:00 | 296 | 3
2003-08-11 03:00:00 | 176 | 1
2003-08-11 04:00:00 | 634 | 2
2003-08-11 05:00:00 | 459 | 3
2003-08-11 06:00:00 | 8484 | 7
2003-08-11 07:00:00 | 2588 | 9
2003-08-11 08:00:00 | 2761 | 7
2003-08-11 09:00:00 | 5688 | 7
2003-08-11 10:00:00 | 7154 | 11
2003-08-11 11:00:00 | 3008 | 47
2003-08-11 12:00:00 | 2509 | 11
2003-08-11 13:00:00 | 1556 | 4
2003-08-11 14:00:00 | 624 | 6
2003-08-11 15:00:00 | 2879 | 8
2003-08-11 16:00:00 | 3769 | 7
2003-08-11 17:00:00 | 4895 | 48
2003-08-11 18:00:00 | 4726 | 31
2003-08-11 19:00:00 | 5374 | 54
2003-08-11 20:00:00 | 14074 | 67
2003-08-11 21:00:00 | 9679 | 43
2003-08-11 22:00:00 | 6585 | 48
2003-08-11 23:00:00 | 10420 | 47
2003-08-12 00:00:00 | 11530 | 52
2003-08-12 01:00:00 | 11873 | 52
2003-08-12 02:00:00 | 7571 | 35
2003-08-12 03:00:00 | 9667 | 43
2003-08-12 04:00:00 | 7453 | 42
2003-08-12 05:00:00 | 10220 | 36

Der Rückgang der Zahlen ist vermutlich auf Filtermaßnahmen bei großeb
ISPSs zurückzuführen. Diese Filter können DCE-basierte Dienste wie DFS
beeinträchtigen. (An der Universität Stuttgart waren aufgrund
präventiver Maßnahmen keine zusätzlichen Filter erforderlich.)

Gegenmaßnahmen
* Um die Verbreitung dieses Wurmes im eigenen Netz einzudämmen, kann
UDP-Port 69 (TFTP) und TCP-Port 4444 gefiltert werden, selbst wenn
eine generelle Sperre für 135/TCP nicht möglich ist.
* Inzwischen stellen die meisten Antiviren-Hersteller
Signatur-Updates bereit, die verhindern, daß ein angegriffenes,
verwundbares System den Wurm weiterverbreitet.
* [3]Trend Micro stellt ein Programm zum Entfernen des Wurms bereit
und beschreibt die manuelle Entfernung.
* Nach erfolgter Eindämmung können die Patches für die
[4]DCOM/RPC-Schwachstelle eingespielt werden.

Weitere Information zu diesem Thema
* [5]Microsoft Security Bulletin MS03-026 Buffer Overrun In RPC
Interface Could Allow Code Execution (823980)
* [6]Microsoft Security Bulletin MS03-026 dt. Fassung des MS03-026
* [7]W32/Lovsan.worm (McAfee)
* [8]WORM_MSBLAST.A (Trend Micro)
* [9]Lovsan (F-Secure)
* [10]Microsoft DCOM RPC Worm Alert (Symantec)
* [11]"MS Blast" MSRPC DCOM Worm Propagation
* [12]CERT/CC Advisory CA-2003-20: W32/Blaster worm (CERT/CC)

Revisionen dieser Meldung
* V.1.0 (2003-08-11)
* V.1.1 (2003-08-11) Filterung von 4444/TCP empfohlen
* V.2.0 (2003-08-11) Weitere Information verfügbar: Windows XP auch
durch den Wurm bedroht, Filter aktiviert

Aktuelle Version dieses Artikels
[13]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1132

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.

Copyright ? 2003 RUS-CERT, Universität Stuttgart,
[14]http://CERT.Uni-Stuttgart.DE/

References

1. http://CERT.Uni-Stuttgart.DE/ticker/...ehrdungsstufen
2. http://CERT.Uni-Stuttgart.DE/ticker/...e.php?mid=1124
3. http://www.trendmicro.com/vinfo/viru...WORM_MSBLAST.A
4. http://CERT.Uni-Stuttgart.DE/ticker/...e.php?mid=1124
5. http://www.microsoft.com/technet/tre...n/MS03-026.asp
6. http://technet.microsoft.at/news_sho...158&secid=1488
7. http://us.mcafee.com/virusInfo/defau...virus_k=100547
8. http://www.trendmicro.com/vinfo/viru...WORM_MSBLAST.A
9. http://www.f-secure.com/v-descs/msblast.shtml
10. https://tms.symantec.com/members/Ana...t-DCOMworm.pdf
11. http://xforce.iss.net/xforce/alerts/id/150
12. http://www.cert.org/advisories/CA-2003-20.html
13. http://CERT.Uni-Stuttgart.DE/ticker/...e.php?mid=1132
14. http://CERT.Uni-Stuttgart.DE/

Chris

Verwendete Ports:
TCP: 135 (wie genannt...)
UDP: 135
TCP: 139
UDP: 139
TCP: 445
UDP: 445
TCP: 593
TCP: 80 (falls "COM Internet Services" installiert (nicht Standard!) )

Quellen hierfuer:
http://www.heise.de/security/news/meldung/38913
http://cert.uni-stuttgart.de/ticker/...e.php?mid=1124


Vorbeugen:
- Keine eMail-Attachments oeffnen
- Patch aufspielen (dringend empfohlen!!!)


Hinweise auf Infektion:
1. msblaster.exe in %systemroot%\system32
2. Ungewoehliche Neustarts mit vorhergehender Fehlermeldung mit 60 Sek. Timeout
3. Fehlermeldungen bzgl. RPC und/oder "NT-Authoritaet"


Entfernung manuell:
1. Prozess "msblaster.exe" beenden (sollte dies nicht funktionieren, dasselbe nach eine neustart versuchen)
2. Aus Autostart entfernen: Registry: in HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Curr entVersion>Run den Eintrag ?windows auto update" = MSBLAST.EXE loeschen

Quelle hierfuer:
http://www.trendmicro.com/vinfo/viru...WORM_MSBLAST.A

PATCH:
Patch-Download von microsoft.com (entsprechendes OS unter "Patch availability" auswaehlen...)

BobaFett

Habe mal ne Frage dazu.

Dh. wenn der Port 135 auf dem Ziel PC nicht offen ist dann kann man doch nicht infiziert werden oder?

Die meisten Router haben den Port/die Ports nicht offen und somit kann sich doch nur der User infizieren der sich direkt an das DSL Modem hängt...

Oder wo ist da der Denk-Fehler?

Chris

Soweit richtig. Allerdings ist, so wie ich das verstehe, die Fortpflanzungstechnik des Wurms eine andere: Sagen wir Du und "Franz" (fiktiv!) haben ein LAN hinter einem Router. Franz ist DAU und oeffnet jeden Link, den er unter den Cursor kriegt. Frank oeffnet das Wurmprogramm msblaster.exe. MSBlaster versucht nun, umgebende Rechnernetze nach anderen verwundbaren Rechnern abzuscannen. Du hast schaendlicherweise noch keinen Patch und wirst befallen, auch wenn der Router tcp135 blockt.

Da faellt mir was ein: Eine PF koennte hier helfen... Oder? *indierundefrag*

BobaFett

Eine PF hilft auf jeden Fall denn ich hab mich damit nicht angesteckt...

Rushjo

@Chris

Klaro, hilft eine "DFw" (=DesktopFirewall), nur sollte man sich mal fragen,
was einfacher und billiger ist? Eine DesktopFirewall kaufen oder einfach
den Patch downloaden und alle nicht benötigten Dienste deaktivieren.

Mal als Information am Rande, man sollte schließlich nicht vergessen, das
der Patch bereits seit über 3 Wochen zum Download bereit steht, leider hat
nur fast "keiner" diesen Patch heruntergeladen. Damit kann man im Moment
Microsoft nicht vorwerfen, dass sie nicht gewarnt hätten. Den "einzigen" und
wirklich gravierenden Fehler denn Sie begangen haben, der liegt in den
unnötigen "Programmierfehlern" und das immer "alle" Dienste standardmäßig
mit System- bzw. Admin-Rechten laufen.

MfG Rushjo


MfG Rushjo

DelumaX

@Chris: Soweit ich weiss ist bisher keine Email oder Link etc. mit der msblaster.exe zur Verbreitung des Wurms gesichtet worden. Bisher verbreitet er sich rein über den remote RPC-Dienst. Die msblaster.exe ist soweit ich weiss u. a. der Teil der hinterher die DoS Attacke auf windowsupdate.com fahren wird...

Btw: Ich glaube fast man kann froh sein das der Wurm in dieser Form aufgetaucht ist. Er hat keine wirklich bösartige Schadensroutine und führt zu umfangreichen Patchaktionen. Stell sich mal einer vor es hätte von anfang an eine bösartige Variante gegeben (Sie wird bestimmt kommen)....

Moe

Der Bug ist seit Anfang Juli bekannt, einen Patch gibt es seit 16.7. .. wer jetzt noch mosert hat eben selbst Schuld. Mal davon abgesehen liegt es auch an der Mentalität der Windows-User .. für die meisten ist ihr System eh "Install and forget".

Moe

__________________
In personal conversations with technical people, I call myself a hacker.
But when I'm talking to journalists I just say "programmer" or something like that.
Linus Torvalds

Lunar Linux
Xfce

TheEvilOne

Hola,

hier könnt ihr das Sicherheits-Update runterladen. Danach sollte das Problem behoben sein.

Greetz Evil

Rushjo

Und hier ein aktueller Bericht zum Stand
der Ausbreitung vom W32/LoveSan-Wurm.

Ansonsten kann man "MisterMoe" nur Recht geben!!!

MfG Rushjo

Chris

Nicht ganz... In der Firma, in der ich Arbeite, ist es wegen NT4 und dem damit zusammenarbeitenden NetWare nicht moeglich, die Patches zentral zu steuern. Es sind hier (incl. Aussendienst) etwa 500 PCs im Einsatz, die also bei jedem Patch alle einzeln aufgesucht werden muessen, da das Admin-Kennwort zum Patchen noetig ist. Man kann sich nun vorstellen, welchen Aufwand so ein "kleiner" Patch hat. Ich war gestern damit beschaeftigt, die alten 133 MHz-PCs im Lagerhaus zu patchen, die noch nicht mal die SPs haben, die fuer den neuen Patch noetig sind! Also NOCH mehr spass...

Also: Da bisher keine allzugrosse Gefahr von RPC Bug auszugehen schien, sah die FIrma das Patchen im Verhaeltnis zum Risiko als zu aufwendig an und reagierte erst gestern frueh nach dem Auftreten des Wurms MSBlaster auf die Sicherheitsluecke.

(Mit ausnahme der Server natuerlich, die immer gepatcht werden )

Marmot

"Betroffen waren unter anderem die Zweigstelle der US-Notenbank in Atlanta (Bundesstaat Georgia) und das Verkehrsamt des US-Bundesstaates Maryland."

Kann mir beim besten willen das lachen nicht verkneifen, .
Von einer Bank oder von öffentlichen Einrichtungen könnte man doch annehmen, daß sie ihre Systeme patchen(Bugfix erschiehn am 16.07.), oder zumindest ihre Firewall richtig konfiguriert haben. Ich hoffe das man die Admins hochkannt feuert, sowas darf in einer Bank einfach nicht passieren.

DelumaX

@Marmot: Es ist nicht unbedingt nötig das du das Statement in zwei Threads abgibst ;o)

Marmot

ok, werds in zukunft lassen.
Falls es jemanden intersseriert, der nächste RPC Wurm ist im Umlauf. Im Gegensatz zu Blaster/Lovsant installiert er auch Backdoors.
http://www.trendmicro.com/vinfo/viru...ORM_RPCSDBOT.A

Und noch ein RPC Wurm
http://www.sophos.de/virusinfo/analy...autoroota.html

GHammel

Wieso eine DFw kaufen? In diesem Fall hätte auch die gratis Fw von MS gelangt.
Zitat von http://www.microsoft.com/germany/ms/...nms03-026.htm:
"Wenn Sie die Internetverbindungsfirewall in Windows XP oder Windows Server 2003 zum Schützen Ihrer Internetverbindung verwenden, wird eingehender RPC-Verkehr aus dem Internet standardmäßig blockiert."

Es sind also nicht nur diejenigen Schuld, die den einen Monat alten Patch nicht installiert haben, sondern auch diejenigen, die XPs Fw deaktivieren.