Hallo, folgende Warnung ist bei uns eingegangen und wir geben Sie hiermit an Sie weiter mit folgender Bitte: Achten Sie bitte darauf, dass in Ihren Rechnern alle Sicherheitsupdates möglichst zeitnah eingespielt werden. -- Mit freundlichen Grüßen / Kind regards Joachim Lammarsch Rechenzentrum der Universität Heidelberg Im Neuenheimer Feld 293, Raum 115, 69120 Heidelberg Tel: 06221/544540 FAX: 06221/545581 http://www.urz.uni-heidelberg.de/ ---------- Weitergeleitete Nachricht ---------- Liebe Kolleginnen und Kollegen, Im DFN-CERT sehen wir in unseren Sensor-Netzwerken eine sehr stark angestiegene Anzahl von Angreifern, die Verbindungen zu Port tcp/445 aufbauen. Weiterhin zeichnen unsere Honeypots eine Vielzahl von Angriffen auf die Schwachstelle in CVE-2008-4250/MS08-067 auf. Beides lässt auf die Ausbreitung des Win32/Conficker.A Wurms im DFN-Netzwerk schließen und wir empfehlen, potentiell betroffenen Systeme auf den notwendigen Patchlevel zu überprüfen und bei Verdacht auf Angriffsspuren zu untersuchen. Im Moment können wir erfolgreiche Angriffe für Windows XP und Windows 2000 bestätigen. Weiterhin sehen wir Angriffe von Windows 2003 Systemen und halten diese auch für betroffen. Schwachstelle: CVE-2008-4250 - Buffer Overflow im RPC Interface des Windows Server Service Der Windows Server Service ist für die Freigabe von Shares, Druckern und Named Pipes im Netz zuständig. Im RPC Interface des Dienstes lässt sich ein Buffer Overflow auslösen. Ein Angreifer kann diese Schwachstelle über das Netz dazu ausnutzen, beliebigen Code mit SYSTEM Rechten auszuführen. Erkennung: Laut Angabe der Antiviren-Firmen legt der Wurm eine DLL mit zufälligem Namen im Windows Systemverzeichnis ab, z.B.: %System%\nxyme.dll und trägt diese als neuen Dienst in der Windows Registry ein. Anhand dieser Manipulationen kann der Wurm lokal auf dem System erkennt werden. Weiterhin verbreitet sich der Wurm durch Angriffe auf IP Adressen, die zufällig generiert werden. D.h. in den Netflows fällt der Wurm durch Verbindungen zu tcp/445 mit zufälligen Ziel-Adressen auf. Betroffene Systeme: Um die Schwachstelle ausnutzen zu können, müssen folgende Bedingungen erfüllt sein: - Der Server Service ist aktiviert. Bei Windows 2000, XP und Server 2003 kann auf den Dienst ohne Authentifizierung zugegriffen werden. Bei Vista und Server 2008 ist der Dienst nur authentifizierten Benutzern zugänglich. - Firewall Regeln erlauben den Zugriff auf den RPC-Dienst, d.h. auf Port 139 bzw. 445. Die Windows Firewall wird bei Freigabe von Resourcen automatisch auf diesen Ports geöffnet, ebenso wenn das System Mitglied einer Windows Domäne ist. Betroffen sind die folgenden Software Pakete und Plattformen: Microsoft Windows 2000 Service Pack 4 Windows XP Service Pack 2 Windows XP Service Pack 3 Windows XP Professional x64 Edition Windows XP Professional x64 Edition Service Pack 2 Windows Server 2003 Service Pack 1 Windows Server 2003 Service Pack 2 Windows Server 2003 x64 Edition Windows Server 2003 x64 Edition Service Pack 2 Windows Server 2003 mit SP1 fuer Itanium-basierte Systeme Windows Server 2003 mit SP2 fuer Itanium-basierte Systeme Windows Vista Windows Vista Service Pack 1 Windows Vista x64 Edition Windows Vista x64 Edition Service Pack 1 Windows Server 2008 fuer 32-bit Systeme Windows Server 2008 fuer x64-basierte Systeme Windows Server 2008 fuer Itanium-basierte Systeme Referenzen: Ein Softwareupgrade wird von Microsoft im Advisory MS08-067 zur Verfügung gestellt: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx Der Wurm wird unter Anderen von Microsoft, CA und Symantec beschrieben: http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.A http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99&tabid=1 http://www.ca.com/us/securityadvisor/virusinfo/virus.aspx?id=75911 Eine Analyse der Angriffe, die wir gesehen haben: https://demonstrator.fp6-noah.org/cgi-bin/wiki.pl/NoAH.Exploitation_of_MS08-067