|
Vulnerabilidad en el gusano Sasser puede ser explotada
|
|
VSantivirus No. 1405 Año 8, martes 11 de mayo de 2004
Vulnerabilidad en el gusano Sasser puede ser explotada
http://www.vsantivirus.com/vul-ftp-sasser.htm
Por Jose Luis Lopez
videosoft@videosoft.net.uy
El gusano Sasser instala en las máquinas que infecta, un servidor FTP que utiliza para sus propias rutinas de propagación.
El servidor FTP escucha por el puerto TCP/5554 (o TCP/1023 en la versión "E" del gusano), en todos los equipos infectados. Según se ha detectado, este servidor posee una vulnerabilidad del tipo desbordamiento de búfer.
En las últimas horas, un pequeño programa se ha empezado a distribuir por Internet, el cuál puede aprovecharse de este fallo, para abrir un shell remoto en el puerto TCP/530 (por defecto).
Aunque se desconocen otros detalles acerca de la idea de este exploit, hay que considerar que si bien existen miles de máquinas infectadas, estas ya son vulnerables al fallo en el proceso LSASS (Local Security Authority Subsystem), (ver "MS04-011 Actualización crítica de Windows (835732)",
http://www.vsantivirus.com/vulms04-011.htm), lo que de por si ya es un riesgo mayor.
LSASS controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema.
Si bien Sasser se vale de la misma, ya existe otro gusano que saca provecho del fallo (Cycle.A).
De todos modos, existe un riesgo grande en la existencia del programa que se vale de una vulnerabilidad en el gusano que tantos estragos ha hecho en los últimos días, considerando además que el propio Sasser se vale también de otra vulnerabilidad (en ese caso en Windows) para propagarse.
Esta sería una de las primeras vulnerabilidades explotadas de un virus.
Relacionados:
La experiencia de un usuario con el Sasser
http://www.vsantivirus.com/experiencias-sasser.htm
Capturados autores del Sasser, del Netsky y del Agobot
http://www.vsantivirus.com/ev-captura-sasser.htm
Preguntas frecuentes sobre el Sasser
http://www.vsantivirus.com/faq-sasser.htm
W32/Sasser.A. Primer gusano que usa vulnerabilidad LSASS
http://www.vsantivirus.com/sasser-a.htm
W32/Sasser.B. Primer gusano que usa vulnerabilidad LSASS
http://www.vsantivirus.com/sasser-b.htm
W32/Sasser.C. Variante recompilada del Sasser.B
http://www.vsantivirus.com/sasser-c.htm
W32/Sasser.D. Se puede ejecutar en Windows 9x y Me
http://www.vsantivirus.com/sasser-d.htm
W32/Sasser.E. Se puede ejecutar en Windows 9x y Me
http://www.vsantivirus.com/sasser-e.htm
El gusano Sasser, las lecciones no aprendidas
http://www.vsantivirus.com/02-05-04.htm
Las consecuencias inmediatas del gusano Sasser
http://www.vsantivirus.com/ev04-05-04.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|