RNP > Serviços > Segurança em redes > Alertas do CAIS

CERT Advisory CA-2001-11

Worm sadmind/IIS

[CERT/CC, 08.05.2001, revisão 01]

O CAIS está repassando o alerta do CERT/CC (CA-2001-11) sobre um novo worm (o sadmind/IIS), que vem se alastrando rapidamente pela Internet visando desfigurar websites.

Um worm nada mais é do que código malicioso que tem por objetivo se auto-propagar de máquina em máquina.

Em particular, o worm "sadmind/IIS" ataca os seguintes sistemas operacionais:

Sistemas rodando Microsoft IIS e
Sistemas rodando Solaris 7 e versões anteriores.

Para se propagar, este worm explora duas vulnerabilidades antigas, atacando em primeira instância máquinas com solaris para então atacar as máquinas com Windows+IIS. Estas vulnerabilidades são:

buffer overflow no sadmind do Solstice e
buffer overflow no unicode do IIS versões 4.0 e 5.0 (MS00-078)

O CAIS recomenda fortemente que sejam aplicadas as atualizações necessárias (detalhadas na seção III do documento anexo) e que qualquer atividade suspeita envolvendo o serviço sadmind sejam reportadas. No caso das redes conectadas ao backbone RNP, as notificações podem ser enviadas ao CAIS através do endereço cais@cais.rnp.br .

Segue um exeplo de log de uma máquina Solaris comprometida:

May 7 02:40:01 carrier.domain.com inetd[139]: /usr/sbin/sadmind: Bus
Error – core dumped
May 7 02:40:01 carrier.domain.com last message repeated 1 time
May 7 02:40:03 carrier.domain.com last message repeated 1 time
May 7 02:40:06 carrier.domain.com inetd[139]: /usr/sbin/sadmind:
SegmentationFault – core dumped

Por último, o CAIS recomenda a leitura do alerta enviado em 30 de abril intitulado "Uma nova onda de worms", disponível em:

http://www.rnp.br/cais/alertas/2001/cais-ALR-012001.html

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais