RNP - Rede Nacional de Ensino e Pesquisa
 
Segurança de redes 
 

CAIS-ALR-09082000

Backdoor Brown-Orifice

[CAIS, 09.08.2000, revisão 01]


O CAIS tomou conhecimento de uma nova vulnerabilidade encontrada no navegador Netscape que permite a instalação de um backdoor que daria acesso remoto a uma árvore de diretórios qualquer da máquina vítima.

Este backdoor está sendo chamado de Brown-Orifice (BO) e TODAS as versões do netscape estao vulneráveis, inclusive a mais recente, 4.74

Um usuário que navegue em uma página web que inclua o código malicioso (applet Java) pode, eventualmente, ter o código executado na máquina local e ter o backdoor instalado. Este backdoor faz com que a máquina vítima se comporte como servidor web, permitindo acesso remoto a dados sigilosos.

Desta forma, o atacante teria acesso a informações através de URLs do tipo:

http://ip_maquina_vitima:porta/diretorio_especificado

Supondo que os IPs 200.144.121.98 e 200.144.121.99 pertençam, respectivamente, a máquinas vítimas Windows e Unix; que o backdoor tenha sido instalado na porta 8080; e que a pasta C:Program Files e o diretório /etc tenham sido especificados pelo atacante, as seguintes URLs dariam acesso não autorizado aos dados contidos nesses diretórios:

http://200.144.121.98:8080/C:/Program Files/
(plataforma Windows)

http://200.144.121.99:8080/etc
(plataforma Unix)

Visando passar desapercebido, o backdoor é instalado por default em uma porta conhecida, tal como: 8080 (proxy), mas ela pode ser facilmente configurada pelo atacante.

Até que seja disponibilizada uma correção definitiva ao problema descrito, ele pode ser contornado desabilitando as funções java do navegador, basicamente as opções "Enable Java" e "Enable Javascript" no Menu Preferences do Navegador Netscape.

O CAIS recomenda:

1. Que as opções acima sejam desabilitadas nos navegadores Netscape.

2. Que sejam verificados os logs a procura de scan na porta 8080.

3. Que sejam utilizadas ferramentas de scan de portas (tal como o nmap) a procura de algum serviço tcp suspeito que possa estar atuando como backdoor.

Maiores esclarecimentos podem ser obtidos na seguinte url:

http://www.securityfocus.com/vdb/?id=1545



Centro de Atendimento a Incidentes de Segurança

Consulta em alertas

 


Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br


Chave PGP pública do Cais