• HOME
• Exploit
• Videos
• Download
• Tutoriais

Tutoriais

Falha de RPC(Remote Procedure Call)

O Bug utilizado pelo Worm Blaster

por Fernando Giannaccari
psy@psbox.org

Se trata de uma falha recente e perigosa para servidores Windows de todos os portes.
Mostrarei, passo a passo, como a falha e o novo tormento da Microsoft, o Blast.worm, trabalham em conjunto para dar dor de cabeça aos administradores de sistemas (Windows).
Além disso, conheça métodos de prevenção, correção e eliminação de ambos, worm e falha.

Falha: DCom RPC
Nível: Crítico
Sistemas afetados:
Microsoft Windows NT 4.0
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server (TM) 2003

Mais precisamente:

Microsoft Windows 2000 Advanced Server SP4
Microsoft Windows 2000 Advanced Server SP3
Microsoft Windows 2000 Advanced Server SP2
Microsoft Windows 2000 Advanced Server SP1
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server SP4
Microsoft Windows 2000 Datacenter Server SP3
Microsoft Windows 2000 Datacenter Server SP2
Microsoft Windows 2000 Datacenter Server SP1
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Professional SP4
Microsoft Windows 2000 Professional SP3
Microsoft Windows 2000 Professional SP2
Microsoft Windows 2000 Professional SP1
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server SP4
Microsoft Windows 2000 Server SP3
Microsoft Windows 2000 Server SP2
Microsoft Windows 2000 Server SP1
Microsoft Windows 2000 Server
Microsoft Windows NT Enterprise Server 4.0 SP6a
Microsoft Windows NT Enterprise Server 4.0 SP6
Microsoft Windows NT Enterprise Server 4.0 SP5
Microsoft Windows NT Enterprise Server 4.0 SP4
Microsoft Windows NT Enterprise Server 4.0 SP3
Microsoft Windows NT Enterprise Server 4.0 SP2
Microsoft Windows NT Enterprise Server 4.0 SP1
Microsoft Windows NT Enterprise Server 4.0
Microsoft Windows NT Server 4.0 SP6a
Microsoft Windows NT Server 4.0 SP6
Microsoft Windows NT Server 4.0 SP5
Microsoft Windows NT Server 4.0 SP4
Microsoft Windows NT Server 4.0 SP3
Microsoft Windows NT Server 4.0 SP2
Microsoft Windows NT Server 4.0 SP1
Microsoft Windows NT Server 4.0
Microsoft Windows NT Terminal Server 4.0 SP6a
Microsoft Windows NT Terminal Server 4.0 SP6
Microsoft Windows NT Terminal Server 4.0 SP5
Microsoft Windows NT Terminal Server 4.0 SP4
Microsoft Windows NT Terminal Server 4.0 SP3
Microsoft Windows NT Terminal Server 4.0 SP2
Microsoft Windows NT Terminal Server 4.0 SP1
Microsoft Windows NT Terminal Server 4.0
Microsoft Windows NT Workstation 4.0 SP6a
Microsoft Windows NT Workstation 4.0 SP6
Microsoft Windows NT Workstation 4.0 SP5
Microsoft Windows NT Workstation 4.0 SP4
Microsoft Windows NT Workstation 4.0 SP3
Microsoft Windows NT Workstation 4.0 SP2
Microsoft Windows NT Workstation 4.0 SP1
Microsoft Windows NT Workstation 4.0
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Datacenter Edition 64-bit
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Enterprise Edition 64-bit
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows XP 64-bit Edition SP1
Microsoft Windows XP 64-bit Edition
Microsoft Windows XP Home SP1
Microsoft Windows XP Home
Microsoft Windows XP Professional SP1
Microsoft Windows XP Professional

Sistemas não afetados:
Microsoft Windows Millennium Edition

Vulnerabilidade:
A vulnerabilidade explora um “buffer overrun” remoto via interface DCOM RPC,
que roda na porta 135 tcp/udp do Windows.
A falha se deve à falta de um limite de pedido de checagens de ativação do DCOM.
A exploração dessa vulnerabilidade pode resultar em execução arbitrária de códigos maliciosos com privilégios de administrador
local da máquina.
Ela também pode se expor a outras portas que o RPC EM (Endpoint Mapper) “escuta”.
São elas: 139, 135, 445 e 593. (Detalhe para a
69 do tftpd)
Não foi confirmado ainda, mas sob algumas modificações de configuração, o RPC
EM pode utilizar a porta 80.

Recomendações:
Bloqueie o acesso externo por meio de um firewall de sua preferência, pois hosts externos podem mandar códigos maliciosos via porta tcp/135, além de explorar essa falha. Os acessos externos a ela devem ser filtrados na entrada da rede. Permita acesso para endereços seguros ou somente internos de rede.
A implementação de múltiplas camadas de segurança, como firewall e IDS são uma
boa pedida para monitorar tentativas remotas de ataque.

Worm:

Foi desenvolvido um worm – chamado W32.Blaster – (também conhecido como Lovsan ou MSBlast), que explora a falha e se espalha por toda a rede, direcionando inclusive sua preciosa conexão a um ataque direto à pagina do Windows Update com uma mensagem sugestiva, mas verdadeira, diga-se de passagem:
“I just want to say LOVE YOU SAN!! billy gates why do you make this possible? Stop
making money and fix your software!!”
Que quer dizer:
“Eu só queria dizer que TE AMO SAN!!! bill gatezinho, por que você torna isso possível? Pare de fazer dinheiro e conserte seu software!!”
Ele explora a falha acima descrita para se espalhar e seu objetivo é o ataque à página do Windows Update, por meio do bombardeio de pacotes múltiplos (DDoS).
Dá-se da seguinte maneira: o worm se conecta pela porta vulnerável (135) e inicia odownload de um software, que será usado em um ataque de Distributed Denial of Service (DDos) ao site da Microsoft windowsupdate.com no dia 16 de agosto.
Hoje, já existem duas variantes do vírus:
Blaster-B e, adivinhem, Blaster-C, mudando, no caso do C, somente o arquivo principal (de msblast.exe para teekids.exe ou penis32.exe) e a forma de compressão de dados, mas ambos continuam com o mesmo código funcional.
Portanto, os antivírus detectarão as variantes sem qualquer update. Lembre-se que é sempre bom deixar o antivírus em dia!
Antivírus Recomendados:
Norton Antivírus
McAfee
PC-Cillin
Utilitário de remoção:
Para você que é hospedeiro do vírus ou apresenta os sintomas básicos, (RPC Failure e rebooting), pegue o kit de remoção:
http://securityresponse.symantec.com/avcenter/FixBlast.exe
Você deve proceder desta maneira:
Enquanto o seu computador estiver inicializando, aperte F8 e selecione SAFE
MODE (Modo de Segurança). Uma vez dentro, rode o arquivo FixBlast.exe e espere pela remoção. Rode novamente em caso de qualquer dúvida.
Feita a remoção do Worm, rode o Patch da Microsoft (endereço de download abaixo) e livre-se de encrencas.

Correções:

Estamos de acordo que algo deve ser feito depois de removido ou após o processo de prevenção do worm. Temos que corrigir a falha.
Para isso, a Microsoft lançou patches de correção para cada versão afetada. Basta dar download e executá-los para ter sua falha corrigida.
Alguns patches requerem pelo menos o Windows Service Pack 1
Você pode encontrá-los em:
Microsoft Windows 2000 Advanced Server SP4:
Microsoft Patch Windows2000-KB823980- x86-ENU.exe
http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-C9F-
220354449117&displaylang=en
Microsoft Windows 2000 Advanced Server SP3:
Microsoft Patch Windows2000-KB823980- x86-ENU.exe
http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en
Microsoft Windows 2000 Advanced Server SP2, Microsoft Windows 2000 Datacenter
Server SP4, Microsoft Windows 2000 Datacenter Server SP3, Microsoft
Windows 2000 Datacenter Server SP2 e Microsoft Windows 2000 Professional SP4:
Microsoft Patch Windows2000-KB823980- x86-ENU.exe
http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F- 220354449117&displaylang=en
Microsoft Windows 2000 Professional SP3:
Microsoft Patch Windows2000-KB823980-x86-ENU.exe
http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F- 220354449117&displaylang=en
Microsoft Windows 2000 Professional SP2 e Microsoft Windows 2000 Server SP4:
Microsoft Patch Windows2000-KB823980- x86-ENU.exe
http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F- 220354449117&displaylang=en
Microsoft Windows 2000 Server SP3:
Microsoft Patch Windows2000-KB823980- x86-ENU.exe
http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F- 220354449117&displaylang=en
Microsoft Windows 2000 Server SP2 e Microsoft Windows NT Enterprise Server 4.0 SP6a:
Microsoft Patch Q823980i.exe
http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBFDF77A0B9303F&displaylang=en
Microsoft Windows NT Server 4.0 SP6a:
Microsoft Patch Q823980i.EXE
http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBFDF77A0B9303F&displaylang=en
Microsoft Windows NT Terminal Server 4.0 SP6a:
Microsoft Patch Q823980i.EXE
http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en
Microsoft Windows NT Workstation 4.0 SP6a:
Microsoft Patch Q823980i.EXE
http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBFDF77A0B9303F&displaylang=en
Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003
Datacenter Edition 64-bit, e Microsoft Windows Server 2003 Enterprise Edition:
Microsoft Patch WindowsServer2003- KB823980-x86-ENU.exe
http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-
3A212458E92E&displaylang=en
Microsoft Windows Server 2003 Enterprise Edition 64-bit:
Microsoft Patch WindowsServer2003- KB823980-ia64-ENU.exe
http://microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F- 017E35692BC7&displaylang=en
Microsoft Windows Server 2003 Standard Edition :
Microsoft Patch WindowsServer2003-KB823980-x86-ENU.exe
http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-
3A212458E92E&displaylang=en
Microsoft Windows Server 2003 Web Edition:
Microsoft Patch WindowsServer2003- KB823980-x86-ENU.exe
http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-
3A212458E92E&displaylang=en
Microsoft Windows XP 64-bit Edition SP1:
Microsoft Patch WindowsXP-KB823980- ia64-ENU.exe
http://microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-
C347ADCC4DF1&displaylang=en
Microsoft Windows XP 64-bit Edition e Microsoft Windows XP Home SP1:
Microsoft Patch WindowsXP-KB823980- x86-ENU.exe
http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-
44AC-9532-3DE40F69C074&displaylang=en
Microsoft Windows XP Home e Microsoft
Windows XP Professional SP1: Microsoft Patch WindowsXP-KB823980-x86-ENU.exe
http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=e

 

PARTE 2: Worm Blaster
Informações e código-fonte comentados

GOSTARAM? ENTÃO DE UMA MORAL E VOTE NO SITE SÓ PRA INCENTIVAR A COLOCAR MAIS VIDEOS AULAS :-) não custa 2 min de seu tempo , estamos tendo mais de 100 visitas diarias e só alguns votão :-(

Quer enviar seu Tutorial?

Envie um e-mail para thorking@gmail.com sem anexos mande no corpo do e-mail.

Obrigado!

Vote e ajude a manter o Force H4ck3r no ar!

Concurso de sites Top30 Brasil.