| CAIS-ALR-09082000Backdoor Brown-Orifice [CAIS, 09.08.2000, revisão 01] O CAIS tomou conhecimento de uma nova vulnerabilidade encontrada no navegador Netscape que permite a instalação de um backdoor que daria acesso remoto a uma árvore de diretórios qualquer da máquina vítima. Este backdoor está sendo chamado de Brown-Orifice (BO) e TODAS as versões do netscape estao vulneráveis, inclusive a mais recente, 4.74 Um usuário que navegue em uma página web que inclua o código malicioso (applet Java) pode, eventualmente, ter o código executado na máquina local e ter o backdoor instalado. Este backdoor faz com que a máquina vítima se comporte como servidor web, permitindo acesso remoto a dados sigilosos. Desta forma, o atacante teria acesso a informações através de URLs do tipo: http://ip_maquina_vitima:porta/diretorio_especificado Supondo que os IPs 200.144.121.98 e 200.144.121.99 pertençam, respectivamente, a máquinas vítimas Windows e Unix; que o backdoor tenha sido instalado na porta 8080; e que a pasta C:Program Files e o diretório /etc tenham sido especificados pelo atacante, as seguintes URLs dariam acesso não autorizado aos dados contidos nesses diretórios: http://200.144.121.98:8080/C:/Program Files/ http://200.144.121.99:8080/etc Visando passar desapercebido, o backdoor é instalado por default em uma porta conhecida, tal como: 8080 (proxy), mas ela pode ser facilmente configurada pelo atacante. Até que seja disponibilizada uma correção definitiva ao problema descrito, ele pode ser contornado desabilitando as funções java do navegador, basicamente as opções "Enable Java" e "Enable Javascript" no Menu Preferences do Navegador Netscape. O CAIS recomenda: 1. Que as opções acima sejam desabilitadas nos navegadores Netscape. 2. Que sejam verificados os logs a procura de scan na porta 8080. 3. Que sejam utilizadas ferramentas de scan de portas (tal como o nmap) a procura de algum serviço tcp suspeito que possa estar atuando como backdoor. Maiores esclarecimentos podem ser obtidos na seguinte url: http://www.securityfocus.com/vdb/?id=1545 | Contato com o Cais: +55 (19) 3787-3300 |