Nimda pot infectar els sistemes Windows, tant pel que fa als clients com als servidors i s'aprofita de vulnerabilitats als productes de Microsoft per a fer-ho d'una forma automàtica, sense que calgui la intervenció de l'usuari. En aquest butlletí farem un èmfasi especial en la prevenció ja que alguns dels mètodes facilitats per diversos fabricants de programes antivírics poden provocar la reaparició d'antics forats de seguretat.
Cada vegada són més els cucs que s'aprofiten de vulnerabilitats en els programes i fan servir autèntiques tècniques d'hacking per tal de propagar-se de forma automàtica, sense necessitat que l'usuari hagi d'obrir o executar un fitxer. Un cop més insistim en la importància de mantenir els sistemes puntual i correctament actualitzats.
En el cas concret de Nimda els afectats, com acostuma a passar, són els productes de Microsoft, però aquesta vegada per partida doble.
Clients Windows 9x, NT, 2000 i ME (Internet Explorer i Outlook/Outlook Express)
Als clients Windows, Nimda fa servir una vulnerabilitat de l'Internet Explorer que permet l'execució automàtica d'un fitxer binari associat a un missatge de correu (.EML). Per tal d'aconseguir-ho modifica la capçalera MIME que fa referència al fitxer de forma que simula ser un format de confiança; en aquest cas concret, un format d'àudio. Això provoca que l'Internet Explorer l'obri sense demanar la confirmació de l'usuari. Aquesta vulnerabilitat es heretada pels clients de correu Outlook i Outlook Express, ja que fan servir el component d'Internet Explorer per a la visualització dels missatges HTML.
En definitiva, la visualització d'una pàgina web o la simple recepció i previsualització d'un missatge de correu HTML pot provocar l'execució d'un fitxer sense cap mena d'intervenció per part de l'usuari. En el cas de Nimda és tracta del fitxer "README.EXE".
Aquesta vulnerabilitat va ser descoberta el març de 2001 pel nostre company Juan Carlos García Cuartango. Si se'm permet la inserció de publicitat, és un dels fundadors i professors del curs de Seguretat Internet a Windows 2000 (http://www.hispasec.com/formacion/intro.htm).
Microsoft va publicar l'actualització corresponent el passat 29 de març de 2001, que haurien d'haver aplicat els usuaris de l'Internet Explorer 5.01 i 5.5. L'actualització està disponible a:
Ara bé, en comptes d'instal·lar aquesta actualització, aconsellem instal·lar la segona versió del pegat, que es va distribuir el passat 16 de maig d'enguany i que no només soluciona aquesta vulnerabilitat sinó també d'altres problemes posteriors.
És important la instal·lació de la actualització acumulativa més nova disponible, o bé el Service Pack (segons configuració), per tal d'evitar la reaparició de vulnerabilitats antigues que pot succeir a l'instal·lar pegats anteriors.
Servidors web NT/2000 (Internet Information Server)
Als servidors Windows, Nimda explota una vulnerabilitat que Microsoft va denominar "Web Server Folder Traversal" i que permet l'execució de fitxers al servidor a l'enviar una URL especialment escrita amb codificació Unicode.
El cuc s'aprofita d'aquesta vulnerabilitat per tal d'executar una sessió TFTP i baixar al servidor web el fitxer ADMIN.DLL i, d'aquesta forma infectar-ho de forma que cerqui les adreces IP d'altres servidors web amb l'objectiu d'infectar-los a la seva vegada. De la mateixa forma, cerca i modifica els fitxers amb els noms DEFAULT, INDEX, MAIN i README i que tinguin l'extensió HTM, HTML o ASP per tal d'incloure un troç de codi JavaScript. D'aquesta forma afegeix el codi que explota la vulnerabilitat de l'Internet Explorer comentada al començament, amb el que aconsegueix la infecció dels clients que visitin les pàgines web.
Microsoft va publicar l'actualització de seguretat per a aquesta vulnerabilitat el passat octubre de 2000. Està disponible a l'adreça:
Les actualitzacions, segons la versió de l'Internet Information Server:
Ara bé, en aquest cas tampoc aconsellem la utilització d'aquestes actualizacions que són les indicades a la major part dels avisos. Pel contrari, caldria instal·lar l'actualització acumulativa més recent, del passat 17 d'agost de 2001.
Segons la versió de l'IIS:
És molt important respectar l'ordre d'instal·lació de les actualitzacions: primer els Services Pack, a continuació els pegats acumulatius i finalment les actualitzacions específiques. Cal evitar la instal·lació d'actualitzacions posteriors que puguin provocar la reaparició de vulnerabilitats corregides prèviament.
A un proper butlletí ens centrarem en l'anàlisi del cuc i els procediments específics d'eliminació.
Més informació
Virus I-Worm.Nimda - Un poco de todo
http://www.avp-es.com/virus/nimda.html
"Nimda" Worm A High Risk Threat
http://www3.ca.com/Press/PressRelease.asp?id=1762
Nimda
http://www.f-secure.com/v-descs/nimda.shtml
W32/Nimda@MM
http://vil.nai.com/vil/virusSummary.asp?virus_k=99209
Nimda
http://service.pandasoftware.es/enciclopedia/
ficha.jsp?Virus=Nimda
W32.Nimda.A@mm
http://www.sarc.com/avcenter/venc/data/
w32.nimda.a@mm.html
'Nimda' worm hits net
http://www.securityfocus.com/templates/article.html?id=253
W32/Nimda
http://www.sophos.com/virusinfo/analyses/w32nimdaa.html
TROJ_NIMDA.A
http://www.antivirus.com/vinfo/virusencyclo/
default5.asp?VName=TROJ_NIMDA.A
Bernardo Quintero
bernardo@hispasec.com
|
