Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Vulnerabilidad en el gusano Sasser puede ser explotada
 
VSantivirus No. 1405 Año 8, martes 11 de mayo de 2004

 Vulnerabilidad en el gusano Sasser puede ser explotada
http://www.vsantivirus.com/vul-ftp-sasser.htm

Por Jose Luis Lopez
videosoft@videosoft.net.uy

El gusano Sasser instala en las máquinas que infecta, un servidor FTP que utiliza para sus propias rutinas de propagación.

El servidor FTP escucha por el puerto TCP/5554 (o TCP/1023 en la versión "E" del gusano), en todos los equipos infectados. Según se ha detectado, este servidor posee una vulnerabilidad del tipo desbordamiento de búfer.

En las últimas horas, un pequeño programa se ha empezado a distribuir por Internet, el cuál puede aprovecharse de este fallo, para abrir un shell remoto en el puerto TCP/530 (por defecto).

Aunque se desconocen otros detalles acerca de la idea de este exploit, hay que considerar que si bien existen miles de máquinas infectadas, estas ya son vulnerables al fallo en el proceso LSASS (Local Security Authority Subsystem), (ver "MS04-011 Actualización crítica de Windows (835732)", http://www.vsantivirus.com/vulms04-011.htm), lo que de por si ya es un riesgo mayor.

LSASS controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema.

Si bien Sasser se vale de la misma, ya existe otro gusano que saca provecho del fallo (Cycle.A).

De todos modos, existe un riesgo grande en la existencia del programa que se vale de una vulnerabilidad en el gusano que tantos estragos ha hecho en los últimos días, considerando además que el propio Sasser se vale también de otra vulnerabilidad (en ese caso en Windows) para propagarse.

Esta sería una de las primeras vulnerabilidades explotadas de un virus.


Relacionados:

La experiencia de un usuario con el Sasser
http://www.vsantivirus.com/experiencias-sasser.htm

Capturados autores del Sasser, del Netsky y del Agobot
http://www.vsantivirus.com/ev-captura-sasser.htm

Preguntas frecuentes sobre el Sasser
http://www.vsantivirus.com/faq-sasser.htm

W32/Sasser.A. Primer gusano que usa vulnerabilidad LSASS
http://www.vsantivirus.com/sasser-a.htm

W32/Sasser.B. Primer gusano que usa vulnerabilidad LSASS
http://www.vsantivirus.com/sasser-b.htm

W32/Sasser.C. Variante recompilada del Sasser.B
http://www.vsantivirus.com/sasser-c.htm

W32/Sasser.D. Se puede ejecutar en Windows 9x y Me
http://www.vsantivirus.com/sasser-d.htm

W32/Sasser.E. Se puede ejecutar en Windows 9x y Me
http://www.vsantivirus.com/sasser-e.htm

El gusano Sasser, las lecciones no aprendidas
http://www.vsantivirus.com/02-05-04.htm

Las consecuencias inmediatas del gusano Sasser
http://www.vsantivirus.com/ev04-05-04.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS