Es ist ein Wurm im Umlauf, der zur Verbreitung die Ende Juli bekanntgewordene DCOM/RPC-Schwachstelle in Microsoft Windows verwendet. Der Wurm verbreitet sich über verwundbare Windows-2000- und Windows-XP-Systeme. Viele ISPs aktivierten Filter, die die Verbreitung begrenzen, die aber eventuell Nebenwirkungen aufweisen.
Betroffene Systeme
Von der DCOM/RPC-Schwachstelle sind betroffen:
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Der Wurm nutzt Windows-2000- und Windows-XP-Systeme zur Verbreitung.
Abhängig davon, wie viele Systeme im eigenen Netz und weltweit befallen sind und welche Filter im Internet-Backbone aktiviert werden, kann es zu Netzstörungen kommen, die weitere Systeme beeinträchtigen.
Einfallstor
TCP-Port 135. Zur Weiterverbreitung ist Verkehr über UDP-Port 69 (TFTP, Port auf der Seite des Angreifers) und TCP-Port 4444 (beim Opfer) erforderlich.
Auswirkung
Das System beginnt nach weiteren Opfern zu Scannen und führt zu bestimmten Zeiten Denial of Service-Angriffe gegen windowsupdate.com durch.
Ein fehlgeschlagener Angriffsversuch auf ein prinzipiell verwundbares System führt häufig zu einem automatischen Neustart.
Zur Eindämmung des Wurmes eingeleitete Gegenmaßnahmen können die Verfügbarkeit von DCE RPC, TFTP und Diensten auf TCP-Port 4444 über das Internet beeinträchtigen. DCE-basierte Dienste (neben DCOM auch DFS) können dadurch in ihrer Verfügbarkeit eingeschränkt werden.
Typ der Verwundbarkeit
buffer overflow bug
Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Seit etwa 2003-08-11 19:00 Uhr MESZ ist ein Wurm im Umlauf, der die Schwachstelle im DCOM/RPC-Service für Microsoft Windows ausnutzt (siehe [MS/Windows NT/2000/XP/2003] Kritische RPC-Schwachstelle). Der Wurm verwendet zwei Servicepack-unabhängige Exploits, jeweils für Windows 2000 und Windows XP. Der jeweilige Exploit wird zufällig ausgewählt. Die Übertragung des Wurmes nach erfolgreicher Kompromittierung erfolgt mit TFTP (UDP-Port 69) und TCP-Port 4444 (Zielport auf der Opferseite). Zur Eindämmung ist es also empfehlenswert, diese Ports zu filtern.
Symptome für einen Befall ist (neben dem unten erwähnten Portscan) das Vorhandensein einer Datei namens "msblast.exe" und ein neuer Eintrag unter SOFTWARE\Microsoft\Windows\CurrentVersion\Run mit dem Namen "windows auto update". Aufgrund von Suchpfad-Problemen ist es allerdings systemabhängig, ob der Wurm nach einem Neustart des Systems wieder aktiviert wird.
Der Wurm sucht über einen Scan auf dem Port 135/TCP nach weiteren verwundbaren Systemen. Dabei wird etwa mit gleicher Wahrscheinlichkeit zwischen einer zufälligen Startadresse und einer Adresse im lokalen Netz gewählt. Ab der gewählten Adresse beginnt der Wurm sequentiell zu scannen. Theoretisch könnte dies ähnlich wie beim Slammer-Wurm zu einer Beeinträchtigung der Netzinfrastruktur führen, aber im Moment liegen noch keine Berichte über gravierende Probleme vor.
Eine Statistik über Scans auf TCP-Port 135 und die Zahl der Quellen zeigt, daß der Wurm sich vergleichsweise gut eindämmen läßt:
time | flows | sources
---------------------+-------+---------
2003-08-11 00:00:00 | 3357 | 7
2003-08-11 01:00:00 | 18130 | 8
2003-08-11 02:00:00 | 296 | 3
2003-08-11 03:00:00 | 176 | 1
2003-08-11 04:00:00 | 634 | 2
2003-08-11 05:00:00 | 459 | 3
2003-08-11 06:00:00 | 8484 | 7
2003-08-11 07:00:00 | 2588 | 9
2003-08-11 08:00:00 | 2761 | 7
2003-08-11 09:00:00 | 5688 | 7
2003-08-11 10:00:00 | 7154 | 11
2003-08-11 11:00:00 | 3008 | 47
2003-08-11 12:00:00 | 2509 | 11
2003-08-11 13:00:00 | 1556 | 4
2003-08-11 14:00:00 | 624 | 6
2003-08-11 15:00:00 | 2879 | 8
2003-08-11 16:00:00 | 3769 | 7
2003-08-11 17:00:00 | 4895 | 48
2003-08-11 18:00:00 | 4726 | 31
2003-08-11 19:00:00 | 5374 | 54
2003-08-11 20:00:00 | 14074 | 67
2003-08-11 21:00:00 | 9679 | 43
2003-08-11 22:00:00 | 6585 | 48
2003-08-11 23:00:00 | 10420 | 47
2003-08-12 00:00:00 | 11530 | 52
2003-08-12 01:00:00 | 11873 | 52
2003-08-12 02:00:00 | 7571 | 35
2003-08-12 03:00:00 | 9667 | 43
2003-08-12 04:00:00 | 7453 | 42
2003-08-12 05:00:00 | 10220 | 36
Der Rückgang der Zahlen ist vermutlich auf Filtermaßnahmen bei großeb ISPSs zurückzuführen. Diese Filter können DCE-basierte Dienste wie DFS beeinträchtigen. (An der Universität Stuttgart waren aufgrund präventiver Maßnahmen keine zusätzlichen Filter erforderlich.)
Gegenmaßnahmen
Um die Verbreitung dieses Wurmes im eigenen Netz einzudämmen, kann UDP-Port 69 (TFTP) und TCP-Port 4444 gefiltert werden, selbst wenn eine generelle Sperre für 135/TCP nicht möglich ist.
Da die Verbreitung über die Festplatte erfolgt, wird wahrscheinlich Antiviren-Software nach einem Signatur-Update die Verbreitung unterbinden können.
Trend Micro stellt ein Programm zum Entfernen des Wurms bereit und beschreibt die manuelle Entfernung.
Nach erfolgter Eindämmung können die Patches für die DCOM/RPC-Schwachstelle eingespielt werden.
Zitieren