CERTA-2003-ALE-002
Vulnerability from certfr_alerte - Published: - Updated:
Des programmes permettant d'exploiter la faille de l'interface RPC sous Windows décrite dans l'avis CERTA-2003-AVI-111 du CERTA sont largement diffusés et employés sur l'Internet.
Le 11 août un ver nommé Blaster (W32/Blaster) a fait son apparition. Depuis, d'autres variantes de ce ver sont apparues.
Description
La faille de l'interface RPC permet en particulier à un utilisateur distant mal intentionné d'obtenir un shell et d'exécuter du code arbitraire avec les droits du compte Local System.
Des programmes exploitant cette vulnérabilité, ainsi que des scanners permettant de détecter les machines vulnérables ont été largement diffusés sur l'Internet.
L'exploitation de cette vulnérabilité peut engendrer certains dysfonctionnements sur la machine cible.
4.1 Ver W32/Blaster
Le ver nommé « W32/Blaster » exploite également cette vulnérabilité sur Windows 2000 et XP : une copie du fichier msblast.exe est déposé sur la machine cible vulnérable depuis une machine déjà infectée, puis cette même machine procède à son tour à la recherche de systèmes vulnérables sur le port 135. Le ver a également la capacité de réaliser un déni de service de type « tcp syn flood » sur le site http://www.windowsupdate.com.
Il est possible de savoir si une machine est infectée par la présence de
la clef de registre
Software\Microsoft\Windows\CurrentVersion\Run\windows auto update=msblast.exe.
Bloquer le trafic vers les ports 4444/TCP et 69/UDP permet de freiner la propagation de ce ver.
4.2 Ver W32/Nachi, W32/Welchia
Le ver nommé « W32/Nachi » ou « W32/Welchia » (selon l'éditeur de l'antivirus) exploite également cette vulnérabilité, ainsi que la vulnérabilité de WebDav décrite dans l'avis CERTA-2003-AVI-050. Le ver recherche les machines ayant le port 135/tcp ouvert, puis envoie un paquet ICMP ECHO REQUEST avec un champ données rempli de 'A'. En cas de réponse à ce paquet, le ver infecte la machine. Une fois la machine compromise, le ver crée un shell sur le port 707/tcp et utilise TFTP (port 69/udp) pour les téléchargements. Le ver tente ensuite d'éliminer le ver Blaster s'il est présent sur la machine, et télécharge les correctifs de Microsoft (versions chinoises, coréennes et anglaises) pour Windows 2000 et Windows XP.
Le ver s'efface automatiquement le 1er janvier 2004.
Contournement provisoire
Pour éviter les attaques venant de l'extérieur, filtrer les ports 135 à 139 et 445 en TCP et en UDP.
Solution
Appliquer au plus tôt le correctif fourni par Microsoft suivant la version du système d'exploitation.
None| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Microsoft Windows XP ;",
"product": {
"name": "Windows",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
},
{
"description": "Microsoft Windows Server 2003.",
"product": {
"name": "Windows",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
},
{
"description": "Microsoft Windows NT 4.0 ;",
"product": {
"name": "Windows",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
},
{
"description": "Microsoft Windows NT 4.0 Terminal Services Edition ;",
"product": {
"name": "Windows",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
},
{
"description": "Microsoft Windows 2000 ;",
"product": {
"name": "Windows",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
}
],
"affected_systems_content": null,
"closed_at": "2003-08-19",
"content": "## Description\n\nLa faille de l\u0027interface RPC permet en particulier \u00e0 un utilisateur\ndistant mal intentionn\u00e9 d\u0027obtenir un shell et d\u0027ex\u00e9cuter du code\narbitraire avec les droits du compte Local System. \n\nDes programmes exploitant cette vuln\u00e9rabilit\u00e9, ainsi que des scanners\npermettant de d\u00e9tecter les machines vuln\u00e9rables ont \u00e9t\u00e9 largement\ndiffus\u00e9s sur l\u0027Internet. \n\nL\u0027exploitation de cette vuln\u00e9rabilit\u00e9 peut engendrer certains\ndysfonctionnements sur la machine cible. \n\n## 4.1 Ver W32/Blaster\n\nLe ver nomm\u00e9 \u00ab W32/Blaster \u00bb exploite \u00e9galement cette vuln\u00e9rabilit\u00e9 sur\nWindows 2000 et XP : une copie du fichier msblast.exe est d\u00e9pos\u00e9 sur la\nmachine cible vuln\u00e9rable depuis une machine d\u00e9j\u00e0 infect\u00e9e, puis cette\nm\u00eame machine proc\u00e8de \u00e0 son tour \u00e0 la recherche de syst\u00e8mes vuln\u00e9rables\nsur le port 135. Le ver a \u00e9galement la capacit\u00e9 de r\u00e9aliser un d\u00e9ni de\nservice de type \u00ab tcp syn flood \u00bb sur le site\nhttp://www.windowsupdate.com. \n\nIl est possible de savoir si une machine est infect\u00e9e par la pr\u00e9sence de\nla clef de registre \n`Software\\Microsoft\\Windows\\CurrentVersion\\Run\\windows auto update=msblast.exe`. \n\nBloquer le trafic vers les ports 4444/TCP et 69/UDP permet de freiner la\npropagation de ce ver.\n\n## 4.2 Ver W32/Nachi, W32/Welchia\n\nLe ver nomm\u00e9 \u00ab W32/Nachi \u00bb ou \u00ab W32/Welchia \u00bb (selon l\u0027\u00e9diteur de\nl\u0027antivirus) exploite \u00e9galement cette vuln\u00e9rabilit\u00e9, ainsi que la\nvuln\u00e9rabilit\u00e9 de WebDav d\u00e9crite dans l\u0027avis CERTA-2003-AVI-050. Le ver\nrecherche les machines ayant le port 135/tcp ouvert, puis envoie un\npaquet ICMP ECHO REQUEST avec un champ donn\u00e9es rempli de \u0027A\u0027. En cas de\nr\u00e9ponse \u00e0 ce paquet, le ver infecte la machine. Une fois la machine\ncompromise, le ver cr\u00e9e un shell sur le port 707/tcp et utilise TFTP\n(port 69/udp) pour les t\u00e9l\u00e9chargements. Le ver tente ensuite d\u0027\u00e9liminer\nle ver Blaster s\u0027il est pr\u00e9sent sur la machine, et t\u00e9l\u00e9charge les\ncorrectifs de Microsoft (versions chinoises, cor\u00e9ennes et anglaises)\npour Windows 2000 et Windows XP.\n\nLe ver s\u0027efface automatiquement le 1er janvier 2004.\n\n## Contournement provisoire\n\nPour \u00e9viter les attaques venant de l\u0027ext\u00e9rieur, filtrer les ports 135 \u00e0\n139 et 445 en TCP et en UDP.\n\n## Solution\n\nAppliquer au plus t\u00f4t le correctif fourni par Microsoft suivant la\nversion du syst\u00e8me d\u0027exploitation.\n",
"cves": [],
"links": [
{
"title": "Ver W32/Blaster :",
"url": "http://www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-111/index.html"
}
],
"reference": "CERTA-2003-ALE-002",
"revisions": [
{
"description": "version initiale ;",
"revision_date": "2003-08-01T00:00:00.000000"
},
{
"description": "apparition du ver W32/Blaster.",
"revision_date": "2003-08-12T00:00:00.000000"
},
{
"description": "apparition du ver W32/Nachi, W32/Welchia.",
"revision_date": "2003-08-19T00:00:00.000000"
}
],
"risks": [
{
"description": "Compromission du syst\u00e8me"
}
],
"summary": "Des programmes permettant d\u0027exploiter la faille de l\u0027interface RPC sous\nWindows d\u00e9crite dans l\u0027avis CERTA-2003-AVI-111 du CERTA sont largement\ndiffus\u00e9s et employ\u00e9s sur l\u0027Internet. \n\nLe 11 ao\u00fbt un ver nomm\u00e9 Blaster (W32/Blaster) a fait son apparition.\nDepuis, d\u0027autres variantes de ce ver sont apparues.\n",
"title": "Exploitation d\u0027une faille de Windows RPC",
"vendor_advisories": [
{
"published_at": null,
"title": "Avis CA-2003-19 du CERT/CC",
"url": null
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.