Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2003-ALE-002

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 19 août 2003
No CERTA-2003-ALE-002-002

Affaire suivie par :

CERTA

BULLETIN D'ALERTE DU CERTA

Objet : Exploitation d'une faille de Windows RPC


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2003-ALE-002

Gestion du document


Tableau 1: gestion du document
Référence CERTA-2003-ALE-002-002
Titre Exploitation d'une faille de Windows RPC
Date de la première version 01 août 2003
Date de la dernière version 19 août 2003
Source(s) Avis CA-2003-19 du CERT/CC
Pièce(s) jointe(s) Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Compromission du système.

2 Systèmes affectés

  • Microsoft Windows NT 4.0 ;
  • Microsoft Windows NT 4.0 Terminal Services Edition ;
  • Microsoft Windows 2000 ;
  • Microsoft Windows XP ;
  • Microsoft Windows Server 2003.

3 Résumé

Des programmes permettant d'exploiter la faille de l'interface RPC sous Windows décrite dans l'avis CERTA-2003-AVI-111 du CERTA sont largement diffusés et employés sur l'Internet.

Le 11 août un ver nommé Blaster (W32/Blaster) a fait son apparition. Depuis, d'autres variantes de ce ver sont apparues.

4 Description

La faille de l'interface RPC permet en particulier à un utilisateur distant mal intentionné d'obtenir un shell et d'exécuter du code arbitraire avec les droits du compte Local System.

Des programmes exploitant cette vulnérabilité, ainsi que des scanners permettant de détecter les machines vulnérables ont été largement diffusés sur l'Internet.

L'exploitation de cette vulnérabilité peut engendrer certains dysfonctionnements sur la machine cible.

4.1 Ver W32/Blaster

Le ver nommé « W32/Blaster » exploite également cette vulnérabilité sur Windows 2000 et XP : une copie du fichier msblast.exe est déposé sur la machine cible vulnérable depuis une machine déjà infectée, puis cette même machine procède à son tour à la recherche de systèmes vulnérables sur le port 135. Le ver a également la capacité de réaliser un déni de service de type « tcp syn flood » sur le site http://www.windowsupdate.com.

Il est possible de savoir si une machine est infectée par la présence de la clef de registre
Software\Microsoft\Windows\CurrentVersion\Run\windows auto update=msblast.exe.

Bloquer le trafic vers les ports 4444/TCP et 69/UDP permet de freiner la propagation de ce ver.

4.2 Ver W32/Nachi, W32/Welchia

Le ver nommé « W32/Nachi » ou « W32/Welchia » (selon l'éditeur de l'antivirus) exploite également cette vulnérabilité, ainsi que la vulnérabilité de WebDav décrite dans l'avis CERTA-2003-AVI-050. Le ver recherche les machines ayant le port 135/tcp ouvert, puis envoie un paquet ICMP ECHO REQUEST avec un champ données rempli de 'A'. En cas de réponse à ce paquet, le ver infecte la machine. Une fois la machine compromise, le ver crée un shell sur le port 707/tcp et utilise TFTP (port 69/udp) pour les téléchargements. Le ver tente ensuite d'éliminer le ver Blaster s'il est présent sur la machine, et télécharge les correctifs de Microsoft (versions chinoises, coréennes et anglaises) pour Windows 2000 et Windows XP.

Le ver s'efface automatiquement le 1er janvier 2004.

5 Contournement provisoire

Pour éviter les attaques venant de l'extérieur, filtrer les ports 135 à 139 et 445 en TCP et en UDP.

6 Solution

Appliquer au plus tôt le correctif fourni par Microsoft suivant la version du système d'exploitation.

7 Documentation

Ver W32/Blaster :

Ver W32/Nachi et W32/Welchia :

Gestion détaillée du document

01 août 2003
version initiale ;
12 août 2003
apparition du ver W32/Blaster.
19 août 2003
apparition du ver W32/Nachi, W32/Welchia.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-05-24