RNP > Serviços > Segurança em redes > Alertas do CAIS

CERT Advisory CA-2003-08

Aumento de atividade relacionada ao compartilhamento de recursos do Windows

[CERT/CC, 11.03.2003, revisão 01]

O CAIS está repassando o alerta divulgado pelo CERT/CC, CA-2003-08 Increased Activity Targeting Windows Shares, que aborda o aumento de atividade registrado recentemente com relação ao compartilhamento de recursos usados pelo Windows.

De acordo com dados registrados pelo CERT/CC, houve um aumento significativo na quantidade de sistemas Windows 2000 ou XP, comprometidos através da exploração de senhas de Administrador fracas ou inexistentes.

Tem aparecido diversas ferramentas capazes de explorar este ponto fraco nos sistemas Windows. Dentre as recentemente divulgadas, estão os worms W32/Deloder e W32/Slackor, além de ferramentas como o GT-bot e o sdbot, capazes de criar canais de comunicação com IRCs e assim facilitar o controle remoto da máquina comprometida.

No contexto da problemática envolvendo os compartilhamentos do Windows, o CAIS divulgou o alerta CAIS-ALR-10032003 Novo worm conhecido como "Deloder", disponível em:

http://www.rnp.br/cais/alertas/2003/CAIS-ALR-10032003.html

Vale ressaltar que o Windows usa o protocolo SMB para viabilizar o compartilhamento de arquivos e impressoras. Em versões mais antigas do Windows, como o 95, 98, Me e NT, o SMB usava NetBIOS sobre TCP/IP, ou seja, as portas 137/tcp e udp, 138/udp e 139/tcp. Enquanto que no Windows 2000 e XP, o SMB pode usar diretamente o TCP/IP na porta 445/tcp. Assim, recomenda-se monitorar a atividade nestas portas.

O CAIS recomenda aos administradores de sistemas Windows que tenham especial cuidado na atribuição de senhas ao usuário Administrador e que restrinjam o uso do compartilhamento de recursos na rede interna. Maiores informações sobre precauções podem ser encontradas no alerta do CERT/CC em arquivos relacionados.

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais