RNP > Serviços > Segurança em redes > Alertas do CAIS

Propagação do Worm Sasser

Alerta do CAIS ALR-01042004

[CAIS, 01.05.2004-10:09, revisão 01]

O CAIS teve conhecimento da propagação de um novo worm, o Sasser, também chamado de W32.Sasser.Worm (Symantec), WORM_SASSER.A (Trend Micro) ou W32/Sasser-A (Sophos). Desde a noite de ontem, 30/Abr, nossa equipe vem acompanhando as informações relativas à ação deste worm.

Ate o momento, não se tem noticia de propagação in-the-wild do referido worm em redes brasileiras. No entanto, o mesmo não acontece em redes internacionais, o que motivou alguns fabricantes de antivírus como a McAfee, Symantec e Sophos a elevar o risco do Sasser.

O Sasser é um worm de rede que se propaga explorando a vulnerabilidade de algumas funções do Active Directory no Microsoft LSASS (Local Security Authority Subsystem Service).

No dia 13/Abr, a Microsoft divulgou informações sobre esta vulnerabilidade incluindo as respectivas correções. O alerta foi repassado pelo CAIS e encontra-se disponível em:

cais/alertas/2004/MS04-011.html

No dia 22/Abr o CAIS teve acesso a informações que apontavam a existência de código malicioso que explorava tal vulnerabilidade. O CAIS igualmente repassou estas informações através do seguinte alerta:

cais/alertas/2004/MS04-011a.html

Somente na ultima semana já foram divulgados mais 2 exploits.

Para se propagar o Sasser vasculha a rede buscando sistemas vulneráveis. Uma vez encontrado um sistema em tal situação, este malware envia um pacote especialmente montado de forma que uma condição de buffer overflow é obtida em LSASS.EXE. Depois o worm cria um script (CMD.FTP) com instruções para o sistema vulnerável baixar e executar uma copia deste malware de um sistema remoto infectado usando FTP e a porta 5554/TCP. Por causar buffer overflow no programa LSASS.EXE a maquina necessita que o sistema seja reiniciado.

Os aspectos do Sasser que merecem destaque são o impacto no host infectado, já que o desempenho do mesmo cai significativamente, e as portas envolvidas na propagação, 445/TCP, 5554/TCP e 9996/TCP. Com a informação das portas envolvidas o administrador de redes e' capaz de usar filtros no firewall como medida emergencial de contenção.

Sistemas afetados:

• Microsoft Windows NT® Workstation 4.0 Service Pack 6a
• Microsoft Windows NT Server 4.0 Service Pack 6a
• Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
• Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, e Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP and Microsoft Windows XP Service Pack 1
• Microsoft Windows XP 64-Bit Edition Service Pack 1
• Microsoft Windows XP 64-Bit Edition Version 2003
• Microsoft Windows Server 2003
• Microsoft Windows Server 2003 64-Bit Edition
• Microsoft NetMeeting
• Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e Microsoft Windows Millennium Edition (ME)

Correções disponíveis:

A correção consiste na aplicação das atualizações relacionadas no boletim abaixo:

• Microsoft Security Bulletin MS04-011 - Security Update for Microsoft Windows (835732)

Mais informações:

• Symantec Security Response - W32.Sasser.Worm
• Trend Micro - WORM_SASSER.A
• Sophos - W32/Sasser-A

Identificadores do CVE (http://cve.mitre.org)

• CAN-2003-0533 (em processo de revisão)

O CAIS recomenda aos administradores de plataformas Microsoft que mantenham seus sistemas e aplicativos sempre atualizados.

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais