Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

VAŽNO! Buffer Overrun in RPC / msblast.exe

[es] :: Security :: VAŽNO! Buffer Overrun in RPC / msblast.exe

Strane: 1 2 3

[ Pregleda: 20676 | Odgovora: 49 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Mihailo
Mihailo Đorić

Član broj: 1016
Poruke: 2875
*.verat.net



+1 Profil

icon VAŽNO! Buffer Overrun in RPC / msblast.exe12.08.2003. u 01:27 - pre 251 meseci
Izgleda da je procureo "exploit" za RPC buffer overrun (preko TCP ili UDP), i skript dečica ga konzumiraju do overdoza. Danas sam i lično video kako se eksploatiše u praksi ...

Pogođeni su svi NT-i, ovo treba shvatiti vrlo ozbiljno i zakrpiti se na vreme, nemoj posle da kukate po forumu jer ću sve da brišem :o)

Svi koji su u DMZ-u bi trebalo da su zaštićeni, ali nije loše da se i oni zakrpe ...

Detaljna mudros':
http://support.microsoft.com/?kbid=823980



[Ovu poruku je menjao Mihailo dana 25.09.2003. u 13:01 GMT]

[Ovu poruku je menjao random dana 18.08.2005. u 20:15 GMT+1]
 
Odgovor na temu

BeastMaster
Dragan Mitic
Krusevac

Član broj: 4666
Poruke: 1561
*.ptt.yu

ICQ: 22756094


Profil

icon Re: VAZNO! Buffer Overrun in RPC 12.08.2003. u 07:37 - pre 251 meseci
http://www.elitesecurity.org/tema/27421
 
Odgovor na temu

random
Vladimir Vrzić
Beograd

Član broj: 85
Poruke: 3866
*.f.bg.ac.yu

Sajt: www.last.fm/user/vrza


+4 Profil

icon Re: VAZNO! Buffer Overrun in RPC 12.08.2003. u 14:38 - pre 251 meseci
U pitanju je crv koji koristi ranjivi MS RPC DCOM (buffer overflow exploit) da izvrši kod koji ga kopira na sledeću mašinu. Kad se ubaci na računar, crv traži nove mašine na koje bi mogao da se proširi.

Simptom:



Najlakše je otkačiti se sa mreže, podići task manager, ubiti msblast.exe, zatim ga obrisati iz system32 direktorijuma, ukloniti iz registry-ja (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, ime: 'windows auto update'), zatim se zakačiti, i skinuti odgovarajuću zakrpu sa windowsupdate ili ručno sa MS sajta. Evo Microsoftovog saopštenja.

Zgodna zaštita je i zatvaranje porta 135.

Moguće je da će crvi napasti windowsupdate.com SYN floodom 16-og avgusta.

[Ovu poruku je menjao random dana 12.08.2003. u 20:43 GMT]
int rand(void);

Those who do not understand Unix are condemned to reinvent it, poorly.

Upali lampicu — koristi Jabber!
 
Odgovor na temu

random
Vladimir Vrzić
Beograd

Član broj: 85
Poruke: 3866
*.f.bg.ac.yu

Sajt: www.last.fm/user/vrza


+4 Profil

icon Re: VAZNO! Buffer Overrun in RPC 12.08.2003. u 14:39 - pre 251 meseci
RPC DCOM WORM (MSBLASTER)
This RPC DCOM worm started spreading early afternoon EDT (evening UTC). At this point, it is spreading rapidly.

**********
NOTE: PRELIMINARY. Do not base your incidents response solely on this writeup.
**********


Increase in port 135 activity: http://isc.sans.org/images/port135percent.png

In order to protect yourself, you need to :
Close port 135 (if possible 135-139, 445 and 593)
Apply Patches http://www.microsoft.com/technet/security/bulletin/MS03-026.asp


If you are infected:
- disconnect machine from any network
- delete msblast.exe - delete registry key staring msblast.exe - reboot.


The worm may launch a syn flood against windowsupdate.com on the 16th. It has the ability to infect Windows 2000 and XP.

The worm uses the RPC DCOM vulnerability to propagate. One it finds a vulnerable system, it will spawn a shell on port 4444 and use it to download the actual worm via tftp. The exploit itself is very close to 'dcom.c' and so far appears to use the "universal Win2k" offset only.

Infection sequence: 1. SOURCE sends packets to port 135 tcp with variation of dcom.c exploit to TARGET
2. this causes a remote shell on port 4444 at the TARGET
3. the SOURCE now sends the tftp get command to the TARGET, using the shell on port 4444,
4. the target will now connect to the tftp server at the SOURCE.


The name of the binary is msblast.exe. It is packed with UPX and will self extract. The size of the binary is about 11kByte unpacked, and 6kBytes packed:

MD5sum packed: 5ae700c1dffb00cef492844a4db6cd69 (6176 Bytes)

So far we found the following properties:

- Scans sequentially for machines with open port 135, starting at a presumably random IP address
- uses multiple TFTP servers to pull the binary
- adds a registry key to start itself after reboot


Name of registry key:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run, name: 'windows auto update'

Strings of interest:

msblast.exe
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
windowsupdate.com
start %s
tftp -i %s GET %s
%d.%d.%d.%d
%i.%i.%i.%i
BILLY
windows auto update
SOFTWARE\Microsoft\Windows\CurrentVersion\Run


Existing RPC DCOM snort signatures will detect this worm. The worm is based on dcom.c
int rand(void);

Those who do not understand Unix are condemned to reinvent it, poorly.

Upali lampicu — koristi Jabber!
 
Odgovor na temu

Shadowed
Vojvodina

Član broj: 649
Poruke: 12846



+4783 Profil

icon Re: VAZNO! Buffer Overrun in RPC 12.08.2003. u 15:14 - pre 251 meseci
Mogu da potvrdim da je i Win2003 Server ranjiv. Dva puta mi se dogodilo ali nemam msblast.exe. Zanimljivo je da sam nasao neki tekst o ovome (ali ga jos nisam procitao) i nakon nekoliko minuta evo ga...

Inace mozete spreciti iskljucivanje racunara sa shutdown /a iz komandne linije a zatim ponovo pokrenuti RPC Service (ipak ispoljavaju seneke sitnije nestabilnosti pa ipak preporucujem restart).

BTW, evo upravo se ponovo desava...
 
Odgovor na temu

DownBload

Član broj: 1333
Poruke: 310
*.net4u.hr



Profil

icon Re: VAZNO! Buffer Overrun in RPC 12.08.2003. u 15:17 - pre 251 meseci
Citat:
Mihailo:
Izgleda da je procureo "exploit" za RPC buffer overrun (preko TCP ili UDP), i skript dečica ga konzumiraju do overdoza. Danas sam i lično video kako se eksploatiše u praksi ...

Pogođeni su svi NT-i, ovo treba shvatiti vrlo ozbiljno i zakrpiti se na vreme, nemoj posle da kukate po forumu jer ću sve da brišem :o)

Svi koji su u DMZ-u bi trebalo da su zaštićeni, ali nije loše da se i oni zakrpe ...

Detaljna mudros':
http://support.microsoft.com/?kbid=823980



Nije procurio exploit, nego je 2 dana nakon otkrivanja buga vec bilo rilizano par verzija exploita. Gledam, svaki dan nove verzije....
A sta kiddyi rade s tim...idite na efnet #phrack i samo cekajte...ne dugo :-))).

Leon Juranic
 
Odgovor na temu

MoHicAn

Član broj: 43
Poruke: 1893
*.yubc.net



Profil

icon Re: VAZNO! Buffer Overrun in RPC 12.08.2003. u 15:33 - pre 251 meseci
Eh mirnog li sna :)

.... jednog dana iz dosade uzeh da zabravim sve LISTEN portove na mojoj masini na poslu koja je na javnoj adresi ....

DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:135
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:445
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1025
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1032
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1118
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1207
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1477
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1484
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1489
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1528
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1529
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1620
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:5000
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:2211
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1770
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1979
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:139
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1655
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1656
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:136
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:137
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:138
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:539


...
 
Odgovor na temu

CONFIQ
♫♪♥♪♫

Član broj: 4218
Poruke: 1994
*.red.bezeqint.net

ICQ: 82327428


+10 Profil

icon Re: VAZNO! Buffer Overrun in RPC 12.08.2003. u 19:32 - pre 251 meseci
Ja sam skinuo update sa microsoft.com jedno pre nedelju dve. Tako da i nije baš tako nov virus? Malo pre sam opet hteo da update-ujem i nije bio nijedan critical update od tad.

~Say FiQ
 
Odgovor na temu

drdrksa

Član broj: 1077
Poruke: 3650



+6 Profil

icon Re: VAZNO! Buffer Overrun in RPC 12.08.2003. u 20:06 - pre 251 meseci
Zove se Worm.Win32.Lovesun. Meni je isto upao (), ali sam ga otkloniJo sa KAV-om.
 
Odgovor na temu

xtraya
Vladanko Vladanovic
Belgrado

Član broj: 323
Poruke: 1011
*.verat.net

ICQ: 6072593


+49 Profil

icon Re: VAZNO! Buffer Overrun in RPC 12.08.2003. u 22:24 - pre 251 meseci
AAUUUUUUUUUU bruka....pa ovo je bruka

skeniraju i gruvaju sa svih strana...e pa bar mi se jedno 10 musterija zalilo i bukvalo CELA firma (na xp-u je) je bila u REBOOT RPC varijanti...ne mozete da verujete!

svi su imali msblast.exe u start/run i aktivnog u memoriji....

juce sam namerno skinuo firewall (dok nisam ubacio patch) i 5-6 puta me neko gadjao....odvali me..

a MSBLAST.exe otvori bar 10-15 konekcija ko zna gde po svetu i ceka...

a onda u random momentu uradi jedan KILL RPC-a i reboot je neminovan....

patch ima, primenite ga

msblast.exe je u win/system32 dir-u i kao prefetch file win/prefetch
Hmmm , na VIP-u 3G preko iphone-a 2,6 Mbps DL i 1,4 UP ...
 
Odgovor na temu

xtraya
Vladanko Vladanovic
Belgrado

Član broj: 323
Poruke: 1011
*.verat.net

ICQ: 6072593


+49 Profil

icon Re: VAZNO! Buffer Overrun in RPC 13.08.2003. u 07:23 - pre 251 meseci
pazite ovo...sasvim slucajno sam pratio paljenje jedne mashine...i evo sta rupa od virusa radi:

cim upalite mashinu u lokalnoj mrezi ODMAH krece da skenira privvate adrese...

192.168....i krece od C klase 0 na dalje.....jedan po jedan IP....i samo salje na 135 port....

i to otvori jedno 30 konekcija i samo shiba....auuu kakva bruka za MS....

meni je ceeeeeluuu firmu zarazilo za manje od sat vremena....odjednom su svi racunari poceli ODJEDNOM u isto vreme da se restartuju?????

zamislite trip da vam zvoni 7-8 telefona i svi korisnici kukaju na istu stvar!!!!!!!!

JOOOOOO............
Hmmm , na VIP-u 3G preko iphone-a 2,6 Mbps DL i 1,4 UP ...
 
Odgovor na temu

afrocuban
Ruben Gonzales
Beograd

Član broj: 2080
Poruke: 341



+1 Profil

icon Re: VAZNO! Buffer Overrun in RPC 13.08.2003. u 09:21 - pre 251 meseci

Koliko sam ja ispratio, dotični patch je objavljen još 16. jula. Prema tome, nema excuse-a :)
 
Odgovor na temu

B o j a n
eCTRL
EU

Član broj: 1178
Poruke: 2925
*.cable.triera.net

Jabber: bc@default.co.yu
Sajt: default.co.yu/~bc


+1 Profil

icon Re: VAZNO! Buffer Overrun in RPC 13.08.2003. u 17:37 - pre 251 meseci
A koliko sam ja ćitao da pćela ima tri oči. L;))

Zar ne bi trebalo da svaki odgovoran za windows mreže ima update agente koji revnosno skidaju nove update-ove ?

"It's okay, I'm just admiring to the shape of your skull!" -- Dr. Gonzo
 
Odgovor na temu

degojs

Član broj: 4716
Poruke: 5096



+51 Profil

icon Re: VAZNO! Buffer Overrun in RPC 13.08.2003. u 17:44 - pre 251 meseci
A za firewall niko nije čuo izgleda.. Samo neka rukaju, i treba :)
Commercial-Free !!!
 
Odgovor na temu

random
Vladimir Vrzić
Beograd

Član broj: 85
Poruke: 3866
194.106.169.*

Sajt: www.last.fm/user/vrza


+4 Profil

icon Re: VAZNO! Buffer Overrun in RPC 13.08.2003. u 18:46 - pre 251 meseci
Pitaj boga kolka je ta brzina.
int rand(void);

Those who do not understand Unix are condemned to reinvent it, poorly.

Upali lampicu — koristi Jabber!
 
Odgovor na temu

ABSoftNet

Član broj: 766
Poruke: 100
*.verat.net

Sajt: www.netpp.co.yu


Profil

icon Re: VAZNO! Buffer Overrun in RPC 13.08.2003. u 21:55 - pre 251 meseci
Za sve "administratore", prvo, koristite neki od besplatnih alata za patch management, recimo HFNetChkPro (50 CPU, free) ili napravite Microsoft-ov SUS u lokalnoj mreži kako bi izbegli ovakve i slične probleme.
Drugo, ako vaši korisnici imaju stalan pristup Internetu (mislim na mreže korisnika) ili koriste dial-on-demand, ISDN recimo, postavite jedan firewall (može čak i softverski), ali se potrudite da ga konfigurišete.
Treće, mirno spavajte.

Vladimir Vucinic
 
Odgovor na temu

B o j a n
eCTRL
EU

Član broj: 1178
Poruke: 2925
*.dsl.siol.net

Jabber: bc@default.co.yu
Sajt: default.co.yu/~bc


+1 Profil

icon Re: VAZNO! Buffer Overrun in RPC 14.08.2003. u 10:07 - pre 251 meseci
ABSoftNet, poenta je u neodgovornosti, koja je ocigledno sveprisutna ... jerbo izgleda da oni vec "mirno spavaju" iako ............... maaa ... ona dva u stranu l;)

"It's okay, I'm just admiring to the shape of your skull!" -- Dr. Gonzo
 
Odgovor na temu

afrocuban
Ruben Gonzales
Beograd

Član broj: 2080
Poruke: 341



+1 Profil

icon Re: VAZNO! Buffer Overrun in RPC 14.08.2003. u 13:16 - pre 251 meseci

A malopre sam saznao da su virusom zaraženi i računari u gradskoj skupštini... Mislim stvarno...
 
Odgovor na temu

-zombie-
Tomica Jovanovic
freelance programmer
ni.ac.yu

Član broj: 4128
Poruke: 3448
*.verat.net

Sajt: localhost


+5 Profil

icon Re: VAZNO! Buffer Overrun in RPC 14.08.2003. u 13:58 - pre 251 meseci
ne umem to da opišem u kilomEtrima...
 
Odgovor na temu

B o j a n
eCTRL
EU

Član broj: 1178
Poruke: 2925
*.cable.triera.net

Jabber: bc@default.co.yu
Sajt: default.co.yu/~bc


+1 Profil

icon Re: VAZNO! Buffer Overrun in RPC 14.08.2003. u 18:05 - pre 251 meseci
A na bagremovoj paši ..... L;))

Citat:
afrocuban:
A malopre sam saznao da su virusom zaraženi i računari u gradskoj skupštini... Mislim stvarno...


.... sta stvarno? Sta je tu cudno? Kakve veze ima sto su zarazeni racunari bas u gradskoj skupstini? Po cemu se ti racunari razlikuju od bilo kojih drugih par hiljada drugih koji rade na windows-u???

"It's okay, I'm just admiring to the shape of your skull!" -- Dr. Gonzo
 
Odgovor na temu

[es] :: Security :: VAŽNO! Buffer Overrun in RPC / msblast.exe

Strane: 1 2 3

[ Pregleda: 20676 | Odgovora: 49 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.