 
Mon, 8 Dec 2008 11:41:47 +0100
|
Hallo,
folgende Warnung ist bei uns eingegangen und wir geben Sie hiermit an Sie
weiter mit folgender Bitte:
Achten Sie bitte darauf, dass in Ihren Rechnern alle Sicherheitsupdates
möglichst zeitnah eingespielt werden.
--
Mit freundlichen Grüßen / Kind regards
Joachim Lammarsch
Rechenzentrum der Universität Heidelberg
Im Neuenheimer Feld 293, Raum 115, 69120 Heidelberg
Tel: 06221/544540 FAX: 06221/545581
http://www.urz.uni-heidelberg.de/
---------- Weitergeleitete Nachricht ----------
Liebe Kolleginnen und Kollegen,
Im DFN-CERT sehen wir in unseren Sensor-Netzwerken eine sehr stark
angestiegene Anzahl von Angreifern, die Verbindungen zu Port tcp/445
aufbauen. Weiterhin zeichnen unsere Honeypots eine Vielzahl von Angriffen
auf die Schwachstelle in CVE-2008-4250/MS08-067 auf. Beides lässt auf
die Ausbreitung des Win32/Conficker.A Wurms im DFN-Netzwerk schließen und
wir empfehlen, potentiell betroffenen Systeme auf den notwendigen Patchlevel
zu überprüfen und bei Verdacht auf Angriffsspuren zu untersuchen.
Im Moment können wir erfolgreiche Angriffe für Windows XP und Windows 2000
bestätigen. Weiterhin sehen wir Angriffe von Windows 2003 Systemen und halten
diese auch für betroffen.
Schwachstelle:
CVE-2008-4250 - Buffer Overflow im RPC Interface des Windows Server Service
Der Windows Server Service ist für die Freigabe von Shares, Druckern
und Named Pipes im Netz zuständig. Im RPC Interface des Dienstes lässt sich
ein Buffer Overflow auslösen. Ein Angreifer kann diese Schwachstelle über
das Netz dazu ausnutzen, beliebigen Code mit SYSTEM Rechten auszuführen.
Erkennung:
Laut Angabe der Antiviren-Firmen legt der Wurm eine DLL mit zufälligem
Namen im Windows Systemverzeichnis ab, z.B.:
%System%\nxyme.dll
und trägt diese als neuen Dienst in der Windows Registry ein. Anhand
dieser Manipulationen kann der Wurm lokal auf dem System erkennt werden.
Weiterhin verbreitet sich der Wurm durch Angriffe auf IP Adressen, die
zufällig generiert werden. D.h. in den Netflows fällt der Wurm durch
Verbindungen zu tcp/445 mit zufälligen Ziel-Adressen auf.
Betroffene Systeme:
Um die Schwachstelle ausnutzen zu können, müssen folgende Bedingungen
erfüllt sein:
- Der Server Service ist aktiviert. Bei Windows 2000, XP und
Server 2003 kann auf den Dienst ohne Authentifizierung
zugegriffen werden. Bei Vista und Server 2008 ist der Dienst
nur authentifizierten Benutzern zugänglich.
- Firewall Regeln erlauben den Zugriff auf den RPC-Dienst, d.h. auf
Port 139 bzw. 445. Die Windows Firewall wird bei Freigabe von
Resourcen automatisch auf diesen Ports geöffnet, ebenso wenn das
System Mitglied einer Windows Domäne ist.
Betroffen sind die folgenden Software Pakete und Plattformen:
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2
Windows XP Service Pack 3
Windows XP Professional x64 Edition
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 mit SP1 fuer Itanium-basierte Systeme
Windows Server 2003 mit SP2 fuer Itanium-basierte Systeme
Windows Vista
Windows Vista Service Pack 1
Windows Vista x64 Edition
Windows Vista x64 Edition Service Pack 1
Windows Server 2008 fuer 32-bit Systeme
Windows Server 2008 fuer x64-basierte Systeme
Windows Server 2008 fuer Itanium-basierte Systeme
Referenzen:
Ein Softwareupgrade wird von Microsoft im Advisory MS08-067 zur Verfügung
gestellt:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
Der Wurm wird unter Anderen von Microsoft, CA und Symantec beschrieben:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.A
http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99&tabid=1
http://www.ca.com/us/securityadvisor/virusinfo/virus.aspx?id=75911
Eine Analyse der Angriffe, die wir gesehen haben:
https://demonstrator.fp6-noah.org/cgi-bin/wiki.pl/NoAH.Exploitation_of_MS08-067
|
|
|
