Бюллетень CERT CA-2003-08: Пользователи Windows в опасности

14.03.2003 | 15:22
11 марта выпущен бюллетень по безопасности CERT CA-2003-08 под названием "Increased Activity Targeting Windows Shares". В нем CERT сообщает об катастрофически увеличившемся за последнее время количестве инцидентов, связанных с взломом серверов и рабочих станций под управлением ОС Windows XP/2000.

Основная масса взломанных машин имела или пустые или очень простые пароли пользователя Administrator (или равного ему по правам), а также очень простые пароли на разделяемые ресурсы компьютера (SMB-share). В ранних версиях Windows (95, 98, Me, NT) для осуществления механизма разделения ресурсов использовалась реализация NetBIOS over TCP/IP (NBT) с использованием портов 137/tcp и udp, 138/udp, 139/tcp.

В Win2K, XP SMB запущен прямо через TCP/IP через порт 445/tcp. В последнее время замечено катастрофическое увеличение взломанных систем, а также появление инструментов, автоматизирующих процедуру обнаружения уязвимых систем, к которым относятся: черви W32/Deloder, W32/Slackor, IRC-боты GT-bot, sdbot. Описание каждого из них включено в бюллетень.

При взломе серверов злоумышленники используют их для установки бэкдоров, организации сети распределенной DoS-атаки (DDoS), дальнейшего распространения червя. Во многих случаях взломанная система производит подключение к IRC-сети на специально организованные сервера, где ожидает команд на выполнение (применяются описанные выше боты). Зачастую для внедрения используются методы социальной инженерии.

Довольно интересная технология замечена у червя Deloder. Помимо способности к распространению он также устанавливает копию VNC (Virtual Network Computing), слушающего порты 5800/tcp или 5900/tcp (используется свободно распространяемый remote display tool от AT&T).

Сообщается об организации виртуальной сети с использованием бота sdbot в количестве 7.000 компьютеров и сети с использованием 140,000 компьютеров.

Как обычно, в бюллетене CERT приведены меры по предотвращению взлома. Вкратце они сводятся к следующим: отключение разделения ресурсов компьютера, если в этом нет острой необходимости; использование криптостойких паролей; избежание случаев загрузки файлов из непроверенных источников; применение файрволлов для ограничения доступа к сети.

Текст бюллетеня: http://www.cert.org/advisories/CA-2003-08.html.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://uinc.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код