RNP > Serviços > Segurança em redes > Alertas do CAIS

Alerta do CAIS ALR-11082003

Propagação do Worm Blaster (DCOM RPC)

[CAIS, 11.08.2003, revisão 01]

Estão sendo divulgadas informações relacionadas com o aumento de atividade de um novo worm que até o momento foi denominado de Blaster (MSBLASTER).

Este worm explora a vulnerabilidade do Microsoft Windows DCOM RPC que foi reportada nos seguintes alertas:

Exploitation of Vulnerabilities in Microsoft RPC Interface
http://www.cert.org/advisories/CA-2003-19.html

Exploração de Vulnerabilidades do Microsoft RPC
http://www.rnp.br/cais/alertas/2003/CA200319.html

Atualização do alerta MS03-026
http://www.rnp.br/cais/alertas/2003/cais-alr-25072003.html

Vulnerabilidade no RPC da Microsoft (823980)
http://www.rnp.br/cais/alertas/2003/MS03-026.html

Buffer Overrun In RPC Interface Could Allow Code Execution (823980)
http://www.microsoft.com/technet/security/bulletin/ms03-026.asp

As informações disponíveis até o momento sobre o worm Blaster são:

• Adiciona o valor "windows auto update"="msblast.exe" na chave de registro:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run;
• Pacotes direcionados a porta 135 que exploram a vulnerabilidade;
• Nome do binário do worm: msblast.exe;
• MD5SUM: 5ae700c1dffb00cef492844a4db6cd69 (6176 Bytes);
• O binário é transferido por TFTP (69/UDP).

O CAIS recomenda aos administradores que mantenham seus sistemas e aplicativos sempre atualizados, de acordo com os boletins de segurança e correções disponibilizadas pelos fabricantes. Se possível, é recomendado que sejam aplicados filtros para bloquear a entrada de pacotes com destino a porta 135/UDP, e de pacotes de saída com destino a porta 69/UDP para tentar conter a atividade do worm.

O CAIS estará acompanhando de perto o desenrolar deste serio problema e os manterá informados.

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais