Microsoft RPC/DCOM -haavoittuvuutta hyväksikäyttävä Lovsan-haittaohjelma leviää

Microsoft RPC/DCOM -haavoittuvuutta (CERT-FI varoitus 48/2003) hyväksikäyttävä verkkomato on havaittu leviämässä aktiivisesti Internet-verkossa. Mato-ohjelma käyttää hyväkseen 16.7 julkaistua haavoittuvuutta Microsoftin RPC DCOM -rajapinnassa. Mato tunnetaan mm. nimillä LOVSAN, MSBLAST ja W32.Blaster.

Tällä hetkellä ainoa tiedetty madon hyökkäysominaisuus on palvelunestohyökkäyksen käynnistäminen windowsupdate.com -palvelimia kohtaan. Hyökkäys on ohjelmoitu tapahtumaan ensimmäisen kerran 16.8. Palvelunestohyökkäyksen käynnistyminen vaatii saastuneen tietojärjestelmän uudelleen käynnistymisen. On huomioitavaa, että mato jatkaa leviämistään myös palvelunestohyökkäyksen käynnistyttyä. Mato voi aiheuttaa tietojärjestelmän toistuvaa uudelleen käynnistymistä (katso lisätietoja CERT-FI ohje 1/2003).

Lovsan käyttää leviämiseen TCP-porttia 135. Madon skannaustoiminta voi lisätä merkittävästi verkkoliikennettä ja aiheuttaa kohdetietojärjestelmissä jatkuvia uudelleenkäynnistymisiä. Löydettyään haavoittuvan tietojärjestelmän mato käynnistää komentotulkin porttiin TCP 4444 ja siirtää haittaohjelmakoodin TFTP:llä jo saastuneesta koneesta. Mato sisältää sisäänrakennetun TFTP-palvelun.

Uusi mm. Welchi-nimellä kutsuttu variantti on havaittu leviämässä. Variantti on samantyyppinen kuin alkuperäinen RPC/DCOM -haavoittuvuutta (CERT-FI varoitus 48/2003) hyväksikäyttävä mato. Lisäksi variantti yrittää käyttää hyväkseen Microsoft IIS 5.0 (Internet Information Server) -ohjelmiston sisältämää WebDAV-haavoittuvuutta (CERT-FI varoitus 18/2003). Madon käyttämien tiedostojen nimet ovat DLLHOST.EXE ja SVCHOST.EXE. Huomaa, että kyseiset tiedostonimet ovat samannimisiä kuin Windows-käyttöjärjestelmän normaalit systeemitiedostot. Welchi yrittää poistaa tietojärjestelmästä Lovsan.A -madon ja päivittää tietojärjestelmän RPC/DCOM –haavoittuvuuden, mikä saattaa aiheuttaa ongelmia tietojärjestelmän toiminnalle. Mato poistaa itsensä, kun tietojärjestelmän kello siirretään vuoteen 2004.

[Teksti]

Varoituksen kohderyhmä

RPC/DCOM haavoittuvuudelle ovat alttiita Microsoft Windows NT / 2000 / XP / 2003 -käyttöjärjestelmällä varustetut tietojärjestelmät, joita ei ole päivitetty Microsoft tietoturvatiedotteen MS03-026 mukaisesti. Lisätietoja haavoittuvuudesta ja haavoittuvan tietojärjestelmän päivittämisestä on saatavilla Microsoft tietoturvatiedotteessa MS03-026:

http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

Lovsan-mato saastuttaa Microsoft Windows 2000 ja XP käyttöjärjestelmiä.

Microsoft IIS 5.0 (Internet Information Server) -ohjelmiston sisältämälle WebDAV-haavoittuvuudelle alttiita ovat tietojärjestelmät, jotka on varustettu Windows 2000, XP tai NT 4.0 käyttöjärjestelmäversioilla. Lisätietoja haavoittuvuudesta ja haavoittuvan tietojärjestelmän päivittämisestä on saatavilla Microsoft tietoturvatiedotteessa MS03-007:

http://www.microsoft.com/technet/security/bulletin/ms03-007.asp

Ratkaisu- ja rajoitusmahdollisuudet

  • Päivitä VÄLITTÖMÄSTI haavoittuvat tietojärjestelmät Microsoft turvatiedotteen MS03-026 mukaisella päivityksellä.

  • Estä liikenne Internet-verkosta/verkkoon TCP-porttiin 135.

  • CERT-FI suosittelee liikenteen rajoittamista myös UDP-portiin 135 ja TCP/UDP-portteihin 139 sekä 445.

  • Päivitä haavoittuva Microsoft IIS 5.0 (Internet Information Server) -ohjelmiston sisältämä tietojärjestelmä Microsoft -turvatiedotteen MS03-007 mukaisella päivityksellä.

Saastuneen järjestelmän puhdistamiseksi:

  • Lopeta msblast.exe prosessi

  • Poista msblast.exe -tiedosto (Katso tarkemmat tiedot ohjeesta 1/2003)

  • Poista käyttöjärjestelmän rekisterimuuttujan HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run arvo "windows auto update"="msblast.exe"

  • Päivitä haavoittuva tietojärjestelmä MS03-026 -turvatiedotteen mukaisesti

  • Käynnistä järjestelmä uudelleen

  • Suorita virusskannaus ajantasaisella virustorjuntaohjelmistolla

Tarkemmat ohjeet Lovsan haittaohjelman poistamiseksi löytyvät CERT-FI:n ohjeesta 1/2003: Lovesan-haittaohjelman aiheuttamat ongelmat tietojärjestelmissä.

  • Welchi variantin voi yksinkertaisimmin poistaa siirtämällä tietojärjestelmän kello vuoteen 2004.

Lisätietoa

http://www.f-secure.com/v-descs/msblast.shtml

http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html

http://vil.nai.com/vil/content/v_100547.htm

http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

http://www.ficora.fi/suomi/tietoturva/varoitukset/varoitus-2003-48.html

http://www.f-secure.com/v-descs/welchi.shtml

http://vil.nai.com/vil/content/v_100559.htm

http://www.microsoft.com/technet/security/bulletin/ms03-007.asp

http://www.ficora.fi/suomi/tietoturva/varoitukset/varoitus-2003-18.html

VERSIOHISTORIA:

12.8.2003 Ensimmäinen versio julkaistu

15.8.2003 Toinen versio julkaistu: Lisätty linkki CERT-FI ohjeeseen 1/2003.
Tarkennettu saastuneen tietojärjestelmän puhdistusohjeita.

19.8.2003 Kolmas versio julkaistu: Lisätty tieto Welchi variantista.

Päivityshistoria

Asiasanat: Tietoturva , Varoitukset

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248