Srodne teme
Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

VAŽNO! Buffer Overrun in RPC / msblast.exe

[es] :: Security :: VAŽNO! Buffer Overrun in RPC / msblast.exe

Strane: 1 2 3

[ Pregleda: 12899 | Odgovora: 49 ]

 Postavi temu Odgovori

Autor
Pretraga teme: Traži
Markiranje Štampanje RSS

Mihailo
Mihailo Đorić

Član broj: 1016
Poruke: 2873
*.verat.net



Profil

icon VAŽNO! Buffer Overrun in RPC / msblast.exe12.08.2003. u 01:27

Izgleda da je procureo "exploit" za RPC buffer overrun (preko TCP ili UDP), i skript dečica ga konzumiraju do overdoza. Danas sam i lično video kako se eksploatiše u praksi ...

Pogođeni su svi NT-i, ovo treba shvatiti vrlo ozbiljno i zakrpiti se na vreme, nemoj posle da kukate po forumu jer ću sve da brišem :o)

Svi koji su u DMZ-u bi trebalo da su zaštićeni, ali nije loše da se i oni zakrpe ...

Detaljna mudros':
http://support.microsoft.com/?kbid=823980



[Ovu poruku je menjao Mihailo dana 25.09.2003. u 13:01 GMT]

[Ovu poruku je menjao random dana 18.08.2005. u 20:15 GMT+1]
12.08.2003. u 01:27 

BeastMaster
Dragan Mitic
Krusevac

Član broj: 4666
Poruke: 1560
*.ptt.yu

ICQ: 22756094
Sajt: www.krusevac-oglasi.com


Profil

icon Re: VAZNO! Buffer Overrun in RPC 12.08.2003. u 07:37
http://www.elitesecurity.org/tema/27421
http://www.krusevac-oglasi.com
12.08.2003. u 07:37 

random
Vladimir Vrzić
Senior Software Engineer, Vast.com
Stari Cerak

Tehnički konsultant
Član broj: 85
Poruke: 3855
*.f.bg.ac.yu

Sajt: www.last.fm/user/vrza


Profil

icon Re: VAZNO! Buffer Overrun in RPC 12.08.2003. u 14:38
U pitanju je crv koji koristi ranjivi MS RPC DCOM (buffer overflow exploit) da izvrši kod koji ga kopira na sledeću mašinu. Kad se ubaci na računar, crv traži nove mašine na koje bi mogao da se proširi.

Simptom:



Najlakše je otkačiti se sa mreže, podići task manager, ubiti msblast.exe, zatim ga obrisati iz system32 direktorijuma, ukloniti iz registry-ja (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, ime: 'windows auto update'), zatim se zakačiti, i skinuti odgovarajuću zakrpu sa windowsupdate ili ručno sa MS sajta. Evo Microsoftovog saopštenja.

Zgodna zaštita je i zatvaranje porta 135.

Moguće je da će crvi napasti windowsupdate.com SYN floodom 16-og avgusta.

[Ovu poruku je menjao random dana 12.08.2003. u 20:43 GMT]
int rand(void);

Those who do not understand Unix are condemned to reinvent it, poorly.

Upali lampicu — koristi Jabber!
12.08.2003. u 14:38 

random
Vladimir Vrzić
Senior Software Engineer, Vast.com
Stari Cerak

Tehnički konsultant
Član broj: 85
Poruke: 3855
*.f.bg.ac.yu

Sajt: www.last.fm/user/vrza


Profil

icon Re: VAZNO! Buffer Overrun in RPC 12.08.2003. u 14:39
RPC DCOM WORM (MSBLASTER)
This RPC DCOM worm started spreading early afternoon EDT (evening UTC). At this point, it is spreading rapidly.

**********
NOTE: PRELIMINARY. Do not base your incidents response solely on this writeup.
**********


Increase in port 135 activity: http://isc.sans.org/images/port135percent.png

In order to protect yourself, you need to :
Close port 135 (if possible 135-139, 445 and 593)
Apply Patches http://www.microsoft.com/technet/security/bulletin/MS03-026.asp


If you are infected:
- disconnect machine from any network
- delete msblast.exe - delete registry key staring msblast.exe - reboot.


The worm may launch a syn flood against windowsupdate.com on the 16th. It has the ability to infect Windows 2000 and XP.

The worm uses the RPC DCOM vulnerability to propagate. One it finds a vulnerable system, it will spawn a shell on port 4444 and use it to download the actual worm via tftp. The exploit itself is very close to 'dcom.c' and so far appears to use the "universal Win2k" offset only.

Infection sequence: 1. SOURCE sends packets to port 135 tcp with variation of dcom.c exploit to TARGET
2. this causes a remote shell on port 4444 at the TARGET
3. the SOURCE now sends the tftp get command to the TARGET, using the shell on port 4444,
4. the target will now connect to the tftp server at the SOURCE.


The name of the binary is msblast.exe. It is packed with UPX and will self extract. The size of the binary is about 11kByte unpacked, and 6kBytes packed:

MD5sum packed: 5ae700c1dffb00cef492844a4db6cd69 (6176 Bytes)

So far we found the following properties:

- Scans sequentially for machines with open port 135, starting at a presumably random IP address
- uses multiple TFTP servers to pull the binary
- adds a registry key to start itself after reboot


Name of registry key:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run, name: 'windows auto update'

Strings of interest:

msblast.exe
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
windowsupdate.com
start %s
tftp -i %s GET %s
%d.%d.%d.%d
%i.%i.%i.%i
BILLY
windows auto update
SOFTWARE\Microsoft\Windows\CurrentVersion\Run


Existing RPC DCOM snort signatures will detect this worm. The worm is based on dcom.c
int rand(void);

Those who do not understand Unix are condemned to reinvent it, poorly.

Upali lampicu — koristi Jabber!
12.08.2003. u 14:39 

Shadowed
.NET developer

SuperModerator
Član broj: 649
Poruke: 9030
*.ptt.yu

Sajt: www.diskusije.net


Profil

icon Re: VAZNO! Buffer Overrun in RPC 12.08.2003. u 15:14
Mogu da potvrdim da je i Win2003 Server ranjiv. Dva puta mi se dogodilo ali nemam msblast.exe. Zanimljivo je da sam nasao neki tekst o ovome (ali ga jos nisam procitao) i nakon nekoliko minuta evo ga...

Inace mozete spreciti iskljucivanje racunara sa shutdown /a iz komandne linije a zatim ponovo pokrenuti RPC Service (ipak ispoljavaju seneke sitnije nestabilnosti pa ipak preporucujem restart).

BTW, evo upravo se ponovo desava...
12.08.2003. u 15:14 

DownBload

Član broj: 1333
Poruke: 310
*.net4u.hr



Profil

icon Re: VAZNO! Buffer Overrun in RPC 12.08.2003. u 15:17
Citat:
Mihailo:
Izgleda da je procureo "exploit" za RPC buffer overrun (preko TCP ili UDP), i skript dečica ga konzumiraju do overdoza. Danas sam i lično video kako se eksploatiše u praksi ...

Pogođeni su svi NT-i, ovo treba shvatiti vrlo ozbiljno i zakrpiti se na vreme, nemoj posle da kukate po forumu jer ću sve da brišem :o)

Svi koji su u DMZ-u bi trebalo da su zaštićeni, ali nije loše da se i oni zakrpe ...

Detaljna mudros':
http://support.microsoft.com/?kbid=823980



Nije procurio exploit, nego je 2 dana nakon otkrivanja buga vec bilo rilizano par verzija exploita. Gledam, svaki dan nove verzije....
A sta kiddyi rade s tim...idite na efnet #phrack i samo cekajte...ne dugo :-))).
Leon Juranic
12.08.2003. u 15:17 

MoHicAn

Član broj: 43
Poruke: 1893
*.yubc.net

ICQ: 19837045


Profil

icon Re: VAZNO! Buffer Overrun in RPC 12.08.2003. u 15:33
Eh mirnog li sna :)

.... jednog dana iz dosade uzeh da zabravim sve LISTEN portove na mojoj masini na poslu koja je na javnoj adresi ....

DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:135
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:445
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1025
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1032
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1118
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1207
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1477
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1484
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1489
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1528
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1529
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1620
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:5000
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:2211
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1770
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1979
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:139
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1655
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1656
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:136
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:137
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:138
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:539


...
12.08.2003. u 15:33 

CONFIQ
♫♪♥♪♫

Član broj: 4218
Poruke: 1967
*.red.bezeqint.net

ICQ: 82327428


Profil

icon Re: VAZNO! Buffer Overrun in RPC 12.08.2003. u 19:32
Ja sam skinuo update sa microsoft.com jedno pre nedelju dve. Tako da i nije baš tako nov virus? Malo pre sam opet hteo da update-ujem i nije bio nijedan critical update od tad.

~Say FiQ
12.08.2003. u 19:32 

drdrksa
Srbija

Član broj: 1077
Poruke: 3601
*.verat.net

ICQ: 166457744


Profil

icon Re: VAZNO! Buffer Overrun in RPC 12.08.2003. u 20:06
Zove se Worm.Win32.Lovesun. Meni je isto upao (), ali sam ga otkloniJo sa KAV-om.
12.08.2003. u 20:06 

xtraya
Vladanko Vladanovic
Belgrado

Član broj: 323
Poruke: 943
*.verat.net

ICQ: 6072593


Profil

icon Re: VAZNO! Buffer Overrun in RPC 12.08.2003. u 22:24
AAUUUUUUUUUU bruka....pa ovo je bruka

skeniraju i gruvaju sa svih strana...e pa bar mi se jedno 10 musterija zalilo i bukvalo CELA firma (na xp-u je) je bila u REBOOT RPC varijanti...ne mozete da verujete!

svi su imali msblast.exe u start/run i aktivnog u memoriji....

juce sam namerno skinuo firewall (dok nisam ubacio patch) i 5-6 puta me neko gadjao....odvali me..

a MSBLAST.exe otvori bar 10-15 konekcija ko zna gde po svetu i ceka...

a onda u random momentu uradi jedan KILL RPC-a i reboot je neminovan....

patch ima, primenite ga

msblast.exe je u win/system32 dir-u i kao prefetch file win/prefetch
1056918
12.08.2003. u 22:24 

xtraya
Vladanko Vladanovic
Belgrado

Član broj: 323
Poruke: 943
*.verat.net

ICQ: 6072593


Profil

icon Re: VAZNO! Buffer Overrun in RPC 13.08.2003. u 07:23
pazite ovo...sasvim slucajno sam pratio paljenje jedne mashine...i evo sta rupa od virusa radi:

cim upalite mashinu u lokalnoj mrezi ODMAH krece da skenira privvate adrese...

192.168....i krece od C klase 0 na dalje.....jedan po jedan IP....i samo salje na 135 port....

i to otvori jedno 30 konekcija i samo shiba....auuu kakva bruka za MS....

meni je ceeeeeluuu firmu zarazilo za manje od sat vremena....odjednom su svi racunari poceli ODJEDNOM u isto vreme da se restartuju?????

zamislite trip da vam zvoni 7-8 telefona i svi korisnici kukaju na istu stvar!!!!!!!!

JOOOOOO............
1056918
13.08.2003. u 07:23 

afrocuban
Ruben Gonzales
Beograd

Član broj: 2080
Poruke: 317
195.252.98.*

Sajt: pub44.ezboard.com/bnebesn..


Profil

icon Re: VAZNO! Buffer Overrun in RPC 13.08.2003. u 09:21

Koliko sam ja ispratio, dotični patch je objavljen još 16. jula. Prema tome, nema excuse-a :)
13.08.2003. u 09:21 

B o j a n
EU

Član broj: 1178
Poruke: 2925
*.cable.triera.net

Jabber: bc@default.co.yu
Sajt: default.co.yu/~bc


Profil

icon Re: VAZNO! Buffer Overrun in RPC 13.08.2003. u 17:37
A koliko sam ja ćitao da pćela ima tri oči. L;))

Zar ne bi trebalo da svaki odgovoran za windows mreže ima update agente koji revnosno skidaju nove update-ove ?
"It's okay, I'm just admiring to the shape of your skull!" -- Dr. Gonzo
13.08.2003. u 17:37 

degojs

Član broj: 4716
Poruke: 5096
*.cpe.net.cable.rogers.com

Sajt: www.novetehnologije.com


Profil

icon Re: VAZNO! Buffer Overrun in RPC 13.08.2003. u 17:44
A za firewall niko nije čuo izgleda.. Samo neka rukaju, i treba :)
Commercial-Free !!!
13.08.2003. u 17:44 

random
Vladimir Vrzić
Senior Software Engineer, Vast.com
Stari Cerak

Tehnički konsultant
Član broj: 85
Poruke: 3855
194.106.169.*

Sajt: www.last.fm/user/vrza


Profil

icon Re: VAZNO! Buffer Overrun in RPC 13.08.2003. u 18:46
Pitaj boga kolka je ta brzina.
int rand(void);

Those who do not understand Unix are condemned to reinvent it, poorly.

Upali lampicu — koristi Jabber!
13.08.2003. u 18:46 

ABSoftNet

Član broj: 766
Poruke: 100
*.verat.net

Sajt: www.netpp.co.yu


Profil

icon Re: VAZNO! Buffer Overrun in RPC 13.08.2003. u 21:55
Za sve "administratore", prvo, koristite neki od besplatnih alata za patch management, recimo HFNetChkPro (50 CPU, free) ili napravite Microsoft-ov SUS u lokalnoj mreži kako bi izbegli ovakve i slične probleme.
Drugo, ako vaši korisnici imaju stalan pristup Internetu (mislim na mreže korisnika) ili koriste dial-on-demand, ISDN recimo, postavite jedan firewall (može čak i softverski), ali se potrudite da ga konfigurišete.
Treće, mirno spavajte.
Vladimir Vucinic
13.08.2003. u 21:55 

B o j a n
EU

Član broj: 1178
Poruke: 2925
*.dsl.siol.net

Jabber: bc@default.co.yu
Sajt: default.co.yu/~bc


Profil

icon Re: VAZNO! Buffer Overrun in RPC 14.08.2003. u 10:07
ABSoftNet, poenta je u neodgovornosti, koja je ocigledno sveprisutna ... jerbo izgleda da oni vec "mirno spavaju" iako ............... maaa ... ona dva u stranu l;)
"It's okay, I'm just admiring to the shape of your skull!" -- Dr. Gonzo
14.08.2003. u 10:07 

afrocuban
Ruben Gonzales
Beograd

Član broj: 2080
Poruke: 317
195.252.98.*

Sajt: pub44.ezboard.com/bnebesn..


Profil

icon Re: VAZNO! Buffer Overrun in RPC 14.08.2003. u 13:16

A malopre sam saznao da su virusom zaraženi i računari u gradskoj skupštini... Mislim stvarno...
14.08.2003. u 13:16 

-zombie-
Tomica Jovanovic
freelance programmer
ni.ac.yu

Član broj: 4128
Poruke: 3448
*.verat.net

Sajt: localhost


Profil

icon Re: VAZNO! Buffer Overrun in RPC 14.08.2003. u 13:58
ne umem to da opišem u kilomEtrima...
blogče :: unescaped beta
  » go-paste extenzija
  » reč dana: backup
  » bočne koalicije
14.08.2003. u 13:58 

B o j a n
EU

Član broj: 1178
Poruke: 2925
*.cable.triera.net

Jabber: bc@default.co.yu
Sajt: default.co.yu/~bc


Profil

icon Re: VAZNO! Buffer Overrun in RPC 14.08.2003. u 18:05
A na bagremovoj paši ..... L;))

Citat:
afrocuban:
A malopre sam saznao da su virusom zaraženi i računari u gradskoj skupštini... Mislim stvarno...


.... sta stvarno? Sta je tu cudno? Kakve veze ima sto su zarazeni racunari bas u gradskoj skupstini? Po cemu se ti racunari razlikuju od bilo kojih drugih par hiljada drugih koji rade na windows-u???
"It's okay, I'm just admiring to the shape of your skull!" -- Dr. Gonzo
14.08.2003. u 18:05 

[es] :: Security :: VAŽNO! Buffer Overrun in RPC / msblast.exe

Strane: 1 2 3

[ Pregleda: 12899 | Odgovora: 49 ]

 Postavi temu Odgovori

Srodne teme
Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.