{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Microsoft Windows XP ;","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Windows Server 2003.","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Windows NT 4.0 ;","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Windows NT 4.0 Terminal Services Edition ;","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Windows 2000 ;","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":null,"closed_at":"2003-08-19","content":"## Description\n\nLa faille de l'interface RPC permet en particulier \u00e0 un utilisateur\ndistant mal intentionn\u00e9 d'obtenir un shell et d'ex\u00e9cuter du code\narbitraire avec les droits du compte Local System.  \n\nDes programmes exploitant cette vuln\u00e9rabilit\u00e9, ainsi que des scanners\npermettant de d\u00e9tecter les machines vuln\u00e9rables ont \u00e9t\u00e9 largement\ndiffus\u00e9s sur l'Internet.  \n\nL'exploitation de cette vuln\u00e9rabilit\u00e9 peut engendrer certains\ndysfonctionnements sur la machine cible.  \n\n## 4.1 Ver W32/Blaster\n\nLe ver nomm\u00e9 \u00ab W32/Blaster \u00bb exploite \u00e9galement cette vuln\u00e9rabilit\u00e9 sur\nWindows 2000 et XP : une copie du fichier msblast.exe est d\u00e9pos\u00e9 sur la\nmachine cible vuln\u00e9rable depuis une machine d\u00e9j\u00e0 infect\u00e9e, puis cette\nm\u00eame machine proc\u00e8de \u00e0 son tour \u00e0 la recherche de syst\u00e8mes vuln\u00e9rables\nsur le port 135. Le ver a \u00e9galement la capacit\u00e9 de r\u00e9aliser un d\u00e9ni de\nservice de type \u00ab tcp syn flood \u00bb sur le site\nhttp://www.windowsupdate.com.  \n\nIl est possible de savoir si une machine est infect\u00e9e par la pr\u00e9sence de\nla clef de registre  \n`Software\\Microsoft\\Windows\\CurrentVersion\\Run\\windows auto  update=msblast.exe`.  \n\nBloquer le trafic vers les ports 4444/TCP et 69/UDP permet de freiner la\npropagation de ce ver.\n\n## 4.2 Ver W32/Nachi, W32/Welchia\n\nLe ver nomm\u00e9 \u00ab W32/Nachi \u00bb ou \u00ab W32/Welchia \u00bb (selon l'\u00e9diteur de\nl'antivirus) exploite \u00e9galement cette vuln\u00e9rabilit\u00e9, ainsi que la\nvuln\u00e9rabilit\u00e9 de WebDav d\u00e9crite dans l'avis CERTA-2003-AVI-050. Le ver\nrecherche les machines ayant le port 135/tcp ouvert, puis envoie un\npaquet ICMP ECHO REQUEST avec un champ donn\u00e9es rempli de 'A'. En cas de\nr\u00e9ponse \u00e0 ce paquet, le ver infecte la machine. Une fois la machine\ncompromise, le ver cr\u00e9e un shell sur le port 707/tcp et utilise TFTP\n(port 69/udp) pour les t\u00e9l\u00e9chargements. Le ver tente ensuite d'\u00e9liminer\nle ver Blaster s'il est pr\u00e9sent sur la machine, et t\u00e9l\u00e9charge les\ncorrectifs de Microsoft (versions chinoises, cor\u00e9ennes et anglaises)\npour Windows 2000 et Windows XP.\n\nLe ver s'efface automatiquement le 1er janvier 2004.\n\n## Contournement provisoire\n\nPour \u00e9viter les attaques venant de l'ext\u00e9rieur, filtrer les ports 135 \u00e0\n139 et 445 en TCP et en UDP.\n\n## Solution\n\nAppliquer au plus t\u00f4t le correctif fourni par Microsoft suivant la\nversion du syst\u00e8me d'exploitation.\n","cves":[],"links":[{"title":"Ver W32/Blaster :","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-111/index.html"}],"reference":"CERTA-2003-ALE-002","revisions":[{"description":"version initiale ;","revision_date":"2003-08-01T00:00:00.000000"},{"description":"apparition du ver W32/Blaster.","revision_date":"2003-08-12T00:00:00.000000"},{"description":"apparition du ver W32/Nachi, W32/Welchia.","revision_date":"2003-08-19T00:00:00.000000"}],"risks":[{"description":"Compromission du syst\u00e8me"}],"summary":"Des programmes permettant d'exploiter la faille de l'interface RPC sous\nWindows d\u00e9crite dans l'avis CERTA-2003-AVI-111 du CERTA sont largement\ndiffus\u00e9s et employ\u00e9s sur l'Internet.  \n\nLe 11 ao\u00fbt un ver nomm\u00e9 Blaster (W32/Blaster) a fait son apparition.\nDepuis, d'autres variantes de ce ver sont apparues.\n","title":"Exploitation d'une faille de Windows RPC","vendor_advisories":[{"published_at":null,"title":"Avis CA-2003-19 du CERT/CC","url":null}]}