CERTA-2005-ALE-007

Vulnerability from certfr_alerte - Published: - Updated:

None

Description

Le savoir faire pour exploiter la vulnérabilité pour laquelle un correctif est décrit dans l'avis CERTA-2005-AVI-302 a été publié.

Ce savoir faire a été mis en œuvre sous la forme d'un ver appelé Win32/Zotob.A par certains éditeurs d'antivirus. Il est possible que d'autres formes d'exploitation de cette vulnérabilité apparaissent.

Contournement provisoire

Bien que ça ne puisse pas être généralisé à toutes les exploitations possibles de cette faille de sécurité, il se trouve que le ver Win32/Zotob.A :

  • balaye le réseau pour y découvrir des machines vulnérables sur le port 445/TCP ;
  • essaye de se connecter à un serveur IRC ;
  • génère du trafic sur les ports 8080/TCP, 8888/TCP et 33333/TCP.

Une activité anormale sur ces ports peut aider l'administrateur du réseau à découvrir les machines contaminées par le ver.

Solution

Il est recommandé d'appliquer le correctif décrit dans l'avis CERTA-2005-AVI-302.

Voir avis CERTA-2005-AVI-302.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eVoir avis CERTA-2005-AVI-302.\u003c/P\u003e",
  "closed_at": "2005-08-16",
  "content": "## Description\n\nLe savoir faire pour exploiter la vuln\u00e9rabilit\u00e9 pour laquelle un\ncorrectif est d\u00e9crit dans l\u0027avis CERTA-2005-AVI-302 a \u00e9t\u00e9 publi\u00e9.\n\nCe savoir faire a \u00e9t\u00e9 mis en \u0153uvre sous la forme d\u0027un ver appel\u00e9\nWin32/Zotob.A par certains \u00e9diteurs d\u0027antivirus. Il est possible que\nd\u0027autres formes d\u0027exploitation de cette vuln\u00e9rabilit\u00e9 apparaissent.\n\n## Contournement provisoire\n\nBien que \u00e7a ne puisse pas \u00eatre g\u00e9n\u00e9ralis\u00e9 \u00e0 toutes les exploitations\npossibles de cette faille de s\u00e9curit\u00e9, il se trouve que le ver\nWin32/Zotob.A :\n\n-   balaye le r\u00e9seau pour y d\u00e9couvrir des machines vuln\u00e9rables sur le\n    port 445/TCP ;\n-   essaye de se connecter \u00e0 un serveur IRC ;\n-   g\u00e9n\u00e8re du trafic sur les ports 8080/TCP, 8888/TCP et 33333/TCP.\n\nUne activit\u00e9 anormale sur ces ports peut aider l\u0027administrateur du\nr\u00e9seau \u00e0 d\u00e9couvrir les machines contamin\u00e9es par le ver.\n\n## Solution\n\nIl est recommand\u00e9 d\u0027appliquer le correctif d\u00e9crit dans l\u0027avis\nCERTA-2005-AVI-302.\n",
  "cves": [],
  "links": [
    {
      "title": "description du ver Win32/Zotob.A :",
      "url": "http://www.microsoft.com/technet/security/advisory/899588.mspx"
    },
    {
      "title": "description de la vuln\u00e9rabilit\u00e9 :",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2005-AVI-302"
    }
  ],
  "reference": "CERTA-2005-ALE-007",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2005-08-16T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire"
    }
  ],
  "summary": null,
  "title": "Exploitation de la faille MS05-039",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis de s\u00e9curit\u00e9 Microsoft 899588",
      "url": null
    },
    {
      "published_at": null,
      "title": "Avis Microsoft MS05-039",
      "url": null
    },
    {
      "published_at": null,
      "title": "Avis CERTA-2005-AVI-302",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.