RNP > Serviços > Segurança em redes > Alertas do CAIS

CAIS Resumo RES-032003

Alertas, vulnerabilidades e incidentes de segurança

[CAIS, 12.09.2003, revisão 01]

Como é de conhecimento da comunidade atuante na área de segurança, o CERT/CC divulga a cada três meses o CERT Summary, fazendo um resumo sobre os alertas, vulnerabilidades e incidentes ocorridos nos últimos meses.

Analogamente ao trabalho desenvolvido pelo CERT, o CAIS divulga uma publicação em separado, o "CAIS Resumo", que segue a mesma filosofia, porém com foco nos dados registrados pelo CAIS e na realidade das redes brasileiras.

No presente CAIS Resumo são abordados os alertas, vulnerabilidades e demais acontecimentos que se destacaram na área de segurança no terceiro trimestre de 2003.

Destaques

1. No dia 27 de junho, o CAIS divulgou dois alertas, o primeiro relacionado com a atividade gerada pelo Stumbler e os pacotes com window-size de tamanho 55808, e o segundo, sobre a propagação do vírus Sobig.E

2. Neste mesmo dia o CAIS divulgou nota sobre o aumento na prática de golpes através de email.

3. No dia 3 de julho, o CAIS divulgou nota relacionada com a competição hacker "Defacers Challenge" que visava trocar o conteúdo de milhares de páginas na Internet. O movimento acabou sendo reprimido por ataques de negação de serviço contra os organizadores e os sites que iriam contabilizar as trocas de páginas.

4. No dia 16 de julho, o CAIS divulgou alerta relacionado com a vulnerabilidade do RPC do Microsoft Windows (MS03-026), que seria utilizada pelo worm MSBlaster.

5. No dia 18 de julho, o CAIS repassou o terceiro alerta relacionado com uma vulnerabilidade em equipamentos CISCO. Este alerta trazia informações sobre a existência de um exploit que explorava a vulnerabilidade descrita no alerta do CERT/CC CA-2003-15.

6. No dia 11 de agosto teve início a propagação do worm MSBlaster, quase um mês após a divulgação do alerta da Microsoft. Estima-se que o MSBlaster tenha infectado aproximadamente 250.000 computadores nas primeiras horas de propagação.

7. No dia 13 de agosto, o CAIS divulgou nota relacionada com o sério comprometimento do site ftp.gnu.org, que serve como repositório para inúmeras aplicações largamente utilizadas pela comunidade Internet.

8. No dia 19 de agosto teve início a propagação do vírus Sobig.F com sérias repercussões, elevando significativamente o tráfego de mensagens na rede.

9. No dia 3 de setembro, o CAIS repassou cinco alertas envolvendo vários produtos da Microsoft. Algumas das vulnerabilidades reportadas são consideradas extremamente sérias, pois envolvem aplicativos que não são regularmente atualizados pelos usuários, como o pacote Microsoft Office por exemplo.

10. No dia 10 de setembro, o CAIS repassou mais dois alertas relacionados com duas novas vulnerabilidades envolvendo o RPC da Microsoft. A este respeito, vale a pena ressaltar que existe certo receio por parte dos especialistas da área de segurança de que tais vulnerabilidades sejam exploradas por novas atividades maliciosas, tal como a propagação de um novo worm.

Alertas

Os alertas divulgados ou repassados pelo CAIS, com maior destaque e repercussão nos últimos três meses de 2003, são listados abaixo e estão disponiveis em: http://www.rnp.br/cais/alertas/2003/. Ao todo foram contabilizados 45 alertas de segurança reportados

Microsoft Security Bulletin MS03-039
Vulnerabilidades múltiplas no serviço RPCSS (824146)
[Microsoft, 10.09.2003]

CERT Advisory CA-2003-23
RPCSS Vulnerabilities in Microsoft Windows
[Cert, 10.09.2003]

CERT Summary CS-2003-03
[Cert, 08.09.2003]

Microsoft Security Bulletin MS03-038
Vulnerabilidade no Microsoft Access (827104)
[Microsoft, 03.09.2003]

Microsoft Security Bulletin MS03-037
Vulnerabilidade no Microsoft Visual Basic for Applications (822715)
[Microsoft, 03.09.2003]

Microsoft Security Bulletin MS03-036
Vulnerabilidade no Microsoft WordPerfect Converter (827103)
[Microsoft, 03.09.2003]

Microsoft Security Bulletin MS03-035
Vulnerabilidade no Microsoft Word (827653)
[Microsoft, 03.09.2003]

Microsoft Security Bulletin MS03-034
Vulnerabilidade no Microsoft NetBIOS (824105)
[Microsoft, 03.09.2003]

Alerta do CAIS ALR-27082003
Lista negra relays.osirusoft.com desativada
[CAIS, 27.08.2003]

FreeBSD-SA-03:11.sendmail
Vulnerabilidade remota no Sendmail
[FreeBSD, 26.08.2003]

CERT Advisory CA-2003-22
Multiple Vulnerabilities in Microsoft Internet Explorer
[Cert, 26.08.2003]

Alerta do CAIS ALR-22082003
Ação programada do virus Sobig.F
[CAIS, 22.08.2003]

Alerta do CAIS ALR-21082003
Variante do MSBlaster (Welchia ou Nachi)
[CAIS, 21.08.2003]

Microsoft Security Bulletin MS03-033
Vulnerabilidade no Microsoft MDAC (823718)
[Microsoft, 20.08.2003]

Microsoft Security Bulletin MS03-032
Patch Acumulativo para o Internet Explorer (822925)
[Microsoft, 20.08.2003]

Alerta do CAIS ALR-19082003
Propagação do vírus W32.Sobig.F@mm
[CAIS, 19.08.2003]

CERT Advisory CA-2003-21
GNU Project FTP Server Compromise
[Cert, 14.08.2003]

The Free Software Foundation
Comprometimento de FTP.GNU.ORG
[The Free Software Foundation, 13.08.2003]

CERT Advisory CA-2003-20
W32/Blaster worm
[Cert, 12.08.2003]

Alerta do CAIS ALR-11082003
Propagação do Worm Blaster (DCOM RPC)
[CAIS, 11.08.2003]

Red Hat Security Advisory RHSA-2003:245-15
Buffer Overflow no Wu-ftpd
[Red Hat, 31.07.2003]

CERT Advisory CA-2003-19
Exploração de Vulnerabilidades do Microsoft RPC
[Cert, 31.07.2003]

Sun(sm) Alert Notification (Sun Alert ID: 55680)
Vulnerabilidade no Runtime Linker ld.so.1(1) do Solaris
[Sun, 29.07.2003]

Alerta do CAIS ALR-25072003
Atualização do alerta MS03-026
[CAIS, 25.07.2003]

CERT Advisory CA-2003-18
Integer Overflows in Microsoft Windows DirectX MIDI Library
[Cert, 25.07.2003]

Microsoft Security Bulletin MS03-031
Patch Acumulativo para Microsoft SQL Server (815495)
[Microsoft, 23.07.2003]

Microsoft Security Bulletin MS03-030
Vulnerabilidade no DirectX (819696)
[Microsoft, 23.07.2003]

Microsoft Security Bulletin MS03-029
Falha no Windows possibilita negação de serviço (823803)
[Microsoft, 23.07.2003]

CERT Advisory CA-2003-17
Exploit available for the Cisco IOS Interface Blocked
[Cert, 18.07.2003]

Cisco Security Advisory
Cisco IOS Interface Blocked by IPv4 Packet
[Cisco, 17.07.2003]

CERT Advisory CA-2003-16
Buffer Overflow in Microsoft RPC
[Cert, 17.07.2003]

Microsoft Security Bulletin MS03-028
Falha nas páginas de erro geradas pelo Microsoft ISA Server (816456)
[Microsoft, 16.07.2003]

Microsoft Security Bulletin MS03-027
Vulnerabilidade no Shell do Windows (821557)
[Microsoft, 16.07.2003]

Microsoft Security Bulletin MS03-026
Vulnerabilidade no RPC da Microsoft (823980)
[Microsoft, 16.07.2003]

CERT Advisory CA-2003-15
Cisco IOS Interface Blocked by IPv4 Packet
[Cert, 16.07.2003]

CERT Advisory CA-2003-14
Buffer Overflow in Microsoft Windows HTML Conversion Library
[Cert, 14.07.2003]

Microsoft Security Bulletin MS03-023
Vulnerabilidade no conversor de HTML do Windows (823559)
[Microsoft, 09.07.2003]

Alerta do CAIS ALR-03072003
Ataques programados para 06/07/2003
[CAIS, 03.07.2003]

CERT Incident Note IN-2003-01
Propagação de código malicioso e atualização de aplicativos antivírus (IN-2003-01)
[Cert, 02.07.2003]

Alerta do CAIS ALR-27062003b
Proliferação de golpes por e-mail
[CAIS, 27.06.2003]

Alerta do CAIS ALR-27062003a
Propagação do vírus Sobig.E
[CAIS, 27.06.2003]

Alerta do CAIS ALR-27062003
Atividade gerada pelo Stumbler (Trojan 55808)
[CAIS, 27.06.2003]

Microsoft Security Bulletin MS03-022
Vulnerabilidade no ISAPI Extension do Windows Media Services (822343)
[Microsoft, 25.06.2003]

Microsoft Security Bulletin MS03-021
Vulnerabilidade no Windows Media Player 9 (819639)
[Microsoft, 25.06.2003]

CAIS Resumo RES-022003
Alertas, vulnerabilidades e incidentes de segurança
[CAIS, 11.06.2003]

CAIS na Mídia

A seguir, são listadas algumas reportagens, artigos e entrevistas concedidas pela equipe do CAIS, relacionadas aos temas destacados anteriormente:

"Divulgado terceiro CERT Summary do ano" – CAIS/RNP reforça a importância da leitura deste documento.
http://www.modulo.com.br/pt/page_i.jsp?page=3&catid=7&objid=2293&pagenumber=0&idiom=0

"Agosto: o mês do worm louco" – artigo escrito por Renata Teixeira, do CAIS.
http://informatica.terra.com.br/interna/0,,OI135825-EI559,00.html
http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1062005478,103,

"Ferramentas anti-spam para o usuário final em plataformas Windows"
Artigo escrito por técnicos do CAIS é publicado no boletim Newsgeneration.
http://www.rnp.br/newsgen/0305/antispam.shtml

"Valor Econômico cita gerente do CAIS em reportagem sobre perfil dos gestores de segurança da informação"
http://www.rnp.br/noticias/imprensa/2003/not-imp-030819.html

"Você instala patches?"
Renata Teixeira, do CAIS, escreve sobre instalação de patches.
http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1060943212,69663,/

"Vírus Blaster explora falha recente do Windows"
http://informatica.terra.com.br/interna/0,5862,OI131136-EI559,00.html

"Centro de segurança alerta para atividade de trojan"
http://www.infoguerra.com.br/infoguerra.php?newsid=1056786135,13683,/

"CAIS/RNP relata proliferação de golpes por e-mail"
http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=2074&pagecounter=0&idiom=0

"Alerta CAIS/RNP: cuidado com ataques coordenados no final de semana"
http://www.modulo.com.br/comum/docs_iii_pv.jsp?catid=7&objid=2091&idiom=0&pagenumber=0

"CAIS/RNP lanca segundo "CAIS-Resumo" de 2003"
http://www.modulo.com.br/pt/page_i.jsp?page=3&catid=7&objid=2019&pagenumber=0&idiom=0

Notas

O CAIS ressalta que manter os sistemas e aplicativos atualizados, seguir uma política de segurança, orientar os usuários, são algumas das práticas recomendadas para diminuir os riscos de comprometimento de sua rede, além de contribuir para o aumento da segurança da Internet como um todo.

O CAIS recomenda aos administradores que se mantenham cientes e conscientes dos alertas, correções e atualizações disponibilizadas pelos fabricantes e órgãos de renome na área de segurança.

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais