Risque

  • Exécution de code arbitraire

Systèmes affectés

Voir avis CERTA-2005-AVI-302.

Description

Le savoir faire pour exploiter la vulnérabilité pour laquelle un correctif est décrit dans l'avis CERTA-2005-AVI-302 a été publié.

Ce savoir faire a été mis en œuvre sous la forme d'un ver appelé Win32/Zotob.A par certains éditeurs d'antivirus. Il est possible que d'autres formes d'exploitation de cette vulnérabilité apparaissent.

Contournement provisoire

Bien que ça ne puisse pas être généralisé à toutes les exploitations possibles de cette faille de sécurité, il se trouve que le ver Win32/Zotob.A :

  • balaye le réseau pour y découvrir des machines vulnérables sur le port 445/TCP ;
  • essaye de se connecter à un serveur IRC ;
  • génère du trafic sur les ports 8080/TCP, 8888/TCP et 33333/TCP.

Une activité anormale sur ces ports peut aider l'administrateur du réseau à découvrir les machines contaminées par le ver.

Solution

Il est recommandé d'appliquer le correctif décrit dans l'avis CERTA-2005-AVI-302.

Documentation