Nieuwe worm maakt razendsnel misbruik van lek in RPC

Het zal misschien een enkele keer voorgekomen zijn dat de afgelopen dagen een Windows NT-machine opeens een een reboot nodig had vanwege een gestopte Remote Procedure Call-service, maar vandaag is het geweld echt losgebarsten. Systemen waarop sinds 16 juli geen update meer is uitgevoerd, kunnen aangevallen worden door de worm W32.Blaster. Deze komt via TCP-poort 135, 139 of 445 binnen en gebruikt een backdoor shell command waardoor de RPC-service afgesloten wordt en de machine automatisch een shutdown krijgt. Daarnaast zullen geïnfecteerde pc's vanaf 16 augustus DDoS-aanvallen uitvoeren gericht op de Windows Update-site. Computers uitgerust met Windows NT 4.0 of hoger kunnen kwetsbaar zijn. Het gebruik van een firewall kan misbruik van de exploit nog wel enigszins beperken, maar het wordt toch aangeraden de patch te installeren. Microsoft heeft op deze TechNet-pagina alle benodigde informatie bij elkaar gezet:

Remote Procedure Call (RPC) is a protocol used by the Windows operating system. RPC provides an inter-process communication mechanism that allows a program running on one computer to seamlessly execute code on a remote system. The protocol itself is derived from the Open Software Foundation (OSF) RPC protocol, but with the addition of some Microsoft specific extensions.

Reacties (247)

Verwijderd 12 augustus 2003 10:39

Gisteren was het ook erg merkbaar op irc!!

Even wat nuttige links:
Info over de worm:
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.wo rm.html

Een removal tool:
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.wo rm.removal.tool.html

Microsoft Security Bulletin:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/sec urity/bulletin/MS03-026.asp

Securityfocus:
http://www.securityfocus.com/bid/8205/info

De patches:
Windows 2000:
http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C1 5-8C9F-220354449117&displaylang=en

Windows XP:
http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44A C-9532-3DE40F69C074&displaylang=en

egeltje @Verwijderd • 12 augustus 2003 12:57

En voor de mensen die geen RPC nodig hebben in Win2k, je kunt bij de Advanced properties van je TCP/IP protocol instellen welke poorten actief geblokt moeten worden (alles default open), of welke poorten actief geopend moeten worden (alles default dicht). Dat doe je bij de TCP/IP filtering in het Options tabje...

EfBe @egeltje • 12 augustus 2003 13:50

Was het maar zo simpel. Microsoft echter heeft daar een subtiele blunder begaan, je kunt nl. NIET zeggen welke poorten je wilt blocken. Je kunt alleen een lijst poorte opgeven (per poort, ook lekker handig) welke je open wilt hebben. Ipv dat je dus opgeeft: block 135, 138, 139, 445, moet je alle poorten opgeven die je open wilt hebben. Als je server mail, ftp, www, terminal server, en nog wat zaken draait, dan ben je nog wel ff bezig om alle poorten in te vullen, plus ik weet bv niet of een uitgaande poort op 34321 oid wel open mag of niet, de documentatie zegt daar weinig over.

pfismvg @EfBe • 12 augustus 2003 15:28

Toch is dit juist 1 van de weinige keren dat MS niet blundert.

Een goed firewall begint met alle poorten dicht. Een juist goede bijwerking ervan is dat een administrator gedwongen wordt te gaan kijken welke poorten waarvoor zijn, in plaats van maar wat prutsen (zoals jij dus nu waarschijnlijk doet)

Verwijderd @EfBe • 13 augustus 2003 04:13

@Marcel van Groenigen :
juist wel een grove fout, omdat het merendeel van de huis-, tuin- en keukengebruikers niets van al die poorten afweet. Ikzelf ook niet. Maar je staat wel raar te kijken als je pc opeens reboot ( zoals ik dus ), terwijl ik net daarvoor nog een complete systeemscan heb gedaan nadat ik de virusscanner heb geupdate.

Deze fout was in principe onbekend, totdat bekend werd dat het ook kon. Daarmee is gelijk dit virus gemaakt, maar ik vind het toch wel een grove aanfluiting dat het zo kan gebeuren. Weer eens.

Verwijderd @EfBe • 13 augustus 2003 05:17

@Strijder:
Dat zijn wereldse opmerkingen hoor hee, MS mag het niet te moeilijk maken (secure), maar het is wel een grove aanfluiting dat dit ineens zomaar kan gebeuren (niet secure.)

Echt zo'n reaktie van: "Ik kan je de details niet vertellen, maar 1 ding is zeker, het wordt een rode."

darthdrinker @EfBe • 13 augustus 2003 10:35

firewalls goed instellen is ook niet voor de huis tuin en keuken gebruiker, punt. Ik weet niets van auto's dus ga ik de auto van mijn vader ook niet proberen te tunen of in dit geval een inbraak alarm installeren. Als mij dat niet lukt is dat niet de fout van de auto fabrikant, maar dan komt dat omdat ik er te weinig van af weet.

Verwijderd @EfBe • 13 augustus 2003 14:23

@rbs :
Het feit dat iemand iets niet zou weten maakt het feit dat het gewoon een grove fout is niet kleiner.
En misschien zijn het wel wereldse opmerkingen, MS had gewoon een beter produkt moeten maken.
Of je het er mee eens bent of niet.
Stel dat je een kluizenmaker bent, maar standaard staan alle kluizen open. Alleen als je verstand hebt van kluizen, dan weet je hoe en waarmee en waarom je die dingen dicht moet doen. Maar als je je produkt aan duizenden en duizenden 'onwetenden' verkoopt, is het dan hun schuld als er toch wat gestolen wordt ? En dan kritiek geven dat het ook nog je eigen schuld is ? Sorry, maar mensen die zo kort door de bocht gaan vallen vanzelf wel een keer om.

berzelius @EfBe • 14 augustus 2003 00:08

Ok, voor eens en altijd: FOUTEN IN SOFTWARE ZIJN ONVERMIJDELIJK!!!

Als je mij niet gelooft, misschien dat je dan de NSA wel gelooft:
http://www.nsa.gov/selinux/doc/inevitability/inevitability.html

De NSA geeft deze onvermijdelijkheid op als een van de redenen dat softwarefabrikanten meer bekende beveiligingstechnieken zouden moeten ontwikkelen. De vraag is echter of pc's hierna nog wel zo bruikbaar zijn voor 'dummies', oftewel mensen zonder grondige IT-opleiding op universitair niveau.

Anyway, stop alsjeblieft met het vingertje wijzen naar Microsoft.

Z!oN @EfBe • 12 augustus 2003 22:21

bij een firewall waar je jezelf trust kun je sowiso al het uitgaande verkeer openzetten en dan komen via de state automatisch de ingaande poorten ook open, tenminste zo gaat het met linux/openBSD..

Maar het principe zal in windows wel hetzelfde zijn.

Verwijderd @EfBe • 13 augustus 2003 20:49

Tja.... als alles van te voren al bekend is en word opgelost... dan hebben we niks te klagen....

Helaas voor ms... hoe goed ze hun product ook maken.... er zal altijd iemand kraken (mooie rijm heh?)

Ons kan dus altijd blijven zeggen dat ms een kutproduct heeft gemaakt...

Daar ben ik het niet mee eens

MS had gewoon een beter produkt moeten maken.

............................................. *diepe zucht...........

Max|Burn @EfBe • 15 augustus 2003 09:04

@Strijder

er was in Mei al een fix, ik vind het anders een vrij grove fout dat mensen hun OS-en niet onderhouden.

DutchCommando @Verwijderd • 12 augustus 2003 12:50

Hier voegen we nog wat patches bij:

Windows NT 4.0 Server
http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA 7-BDBF-DF77A0B9303F&displaylang=en

Windows NT 4.0 Terminal Server Edition
http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424 C-A3C1-C9FAD2DC65CA&displaylang=en

Windows XP 64 bit
http://microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488 F-80E3-C347ADCC4DF1&displaylang=en

Windows Server 2003 32 bit Edition
http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-406 1-9009-3A212458E92E&displaylang=en

Windows Server 2003 64 bit Edition
http://microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC 1-995F-017E35692BC7&displaylang=en

G33rt @Verwijderd • 12 augustus 2003 13:42

Nog meer patches

Windows XP Embedded SP1
http://www.microsoft.com/downloads/details.aspx?FamilyID=d72d0867-953d -4293-90d3-b22849d07791&DisplayLang=en

Windows NT4
http://www.microsoft.com/downloads/details.aspx?FamilyID=2cc66f4e-217e -4fa7-bdbf-df77a0b9303f&DisplayLang=en

Als je alles op een rijtje wilt, kijk dan even op http://www.microsoft.com/downloads/results.aspx?productID=&freetext=Bu ffer+Overrun+In+RPC+Interface+Could+Allow+Code+Execution&DisplayLang=e n

Luke_msx 12 augustus 2003 18:03

De enorme verspreiding van dit virus maakt wel weer pijnlijk duidelijk hoe kwetsbaar een door een enkele monopolist beheerste ICT markt is. Zouden er bij wijze van spreken 4 verschillende OS'en zijn die samen 90% van de markt beheersten dan was de impact van deze worm niet half zo groot geweest...

Verwijderd @Luke_msx • 12 augustus 2003 19:30

blouweKip @Verwijderd • 13 augustus 2003 11:51

Je kent iets niet en dan is het meteen gecompliceerd?

Nee dan windows xp, na een update van 2k naar xp werkt een bestaande vpn niet meer en kan ik er ook geen meer aanmaken, en regedit is toch echt een ramp voor de gemiddelde windows gebruiker

Ben ik ff blij dat ik daarnaast een "gecompliceerd" os heb wat makkelijker te updaten is en wat gewoon (logisch) werkt

Verwijderd 12 augustus 2003 10:43

Krijg nou tiete, daar heb ik dus gisteren en vanochtend veel last van gehad (spontane reboots), dit scherm kreeg ik te zien:
http://www.a-base.dds.nl/temp/shutdown.jpg

Heb ook patch nu installed en probleem lijkt eindelijk weg. (Had eerst NAT op router uitgeschakeld maar toch bleef het komen

)

wauwwie @Verwijderd • 12 augustus 2003 12:55

Ookal gebruik je NAT (wat ik ook gebruik) dan nog zet je standaard alle poorten dicht die je niet gebruikt. Altijd de eerste defensie tegen onuitgenode gasten op je bak. Had je deze poorten dicht gezet dan ben je op het eerste gezicht al redelijk veilig bezig en had het niet uitgemaakt of je deze patch nou geinstalleerd had of niet.

Gebruik je de NAT functie van Routing and remote Access van Win2k dan kun je de betreffende poorten blokkeren in je filter list.

Kijk eens op www.grc.com en controleer of je poorten openstaan.

hott @Verwijderd • 12 augustus 2003 10:47

Je bedoelt je had NAT ingeschakeld (als hij uit staat is het logisch dat er iets doorkomt

)

Verwijderd @hott • 12 augustus 2003 11:42

[off-topic]
Lijkt me niet, als ik NAT uitschakel op mijn router, worden de adressen niet meer vertaald en dus komt er helemaal niks meer aan op mijn interne netwerk.
[/off-topic]

Je zou zeggen dat mensen met een NAT router er weinig last van zouden hebben, die van mij stuurt alleen poorten door die ik nodig heb, en daar vallen deze drie volgens mij niet onder?

Verwijderd @Verwijderd • 12 augustus 2003 17:53

yup ik ook (bij mijn vriendin). Ik voelde mij al zo stom!

Ik heb het opgelost door de netwerkkaarten ut te schakelen. Maarja, dan heb je geen internet meer.

Je doet er niks aan, je kunt net 1 minuut na opstarten wat doen en dan krijg je die melding. NIks helpt (ik d8 1st svchost killen, maar dat werkt natuurlijk niet.)

[edit]
grappig: ik schijn het verholpen te hebben door het netwerk te deinstalleren. Mijn vriendin was ineens weer gewoon online. XP had natuurlijk een nieuwe netwerkkaart gevonden en zelf vast maar weer geinstalleerd. Maar met het tooltje blastfix was geen worm meer te bekennen!

Verwijderd 12 augustus 2003 11:12

Ik zat gisteren met een gozer op MSN, toen hij ook opeens werd besmet met deze worm. Ik heb hem proberen te helpen, en dat is ook uiteindelijk gelukt, maar nu geeft hij mij de schuld van alles. Hij beweert dat hij zoiets nog nooit eerder gehad heeft, en omdat het nu gebeurde terwijl wij op MSN zaten, MOET het wel mijn schuld zijn. Tegen zulke logica kan ik niets in brengen.

Beste tweakers, ik ben (blijkbaar) verantwoordelijk voor deze worm. Mijn excuses!

OverSoft @Verwijderd • 12 augustus 2003 18:45

ja, dat ken ik...

kreeg vandaag op de helpdesk iemand die een toetsenbord had gekocht...

hij sloot gisteravond zijn toetsenbord aan en kreeg deze melding, dus het MOEST wel aan dat toetsenbord liggen...

of wij even een pc van 4500,- euro wouden vergoeden...

uitgelegd en het was weer okee

TheLunatic @Verwijderd • 13 augustus 2003 17:26

offtopic:
Welke mafketel modereert dit als inzichtvol ?

Amdk6II 12 augustus 2003 10:45

Een paar dagen geleden is mij dit ook overkomen.
Het erge is dat iets of iemand daarvoor mijn virusscanner van mijn pc heeft gehaald, had ik niet eens door (dat ding heeft auto update, dus ik merk er altijd weinig van)

Ik zeg niet dat het door die worm komt, maar ik heb moeten viruschecken via een website.
Op deze website kun je online scannen : http://housecall.trendmicro.com/
En ja hoor 88 files infected. (En ik had al 2 RPC gehad die het systeem afsluiten)

Mijn advies, scannen en updaten. (als je geen autoprotect en autoupdate hebt)
Heb je geen virusscanner dan mag je van mij part van het internet af want dan help je alleen maar virus verspreiding en ben je anderen tot last.
Online scannen als je geen software hebt!

Nazgul 12 augustus 2003 10:47

En dan te bedenken dat dit op 21 Juli al voorspeld was.

www.securityfocus.com/columnists/174

Sluuut 12 augustus 2003 11:39

@Richie:

In princiepe gaat het dan om de router die ertussen zit, als daar een attack op word losgelaten op bijvoorbeeld poort 135 dan weet de router niet naar welk intern ip hij dat moet doorsturen, dus gebeurd er niets mee.
Mocht jij je router zo hebben ingesteld dat alles naar jou ip word doorgestuurd en ook weer word verstuurd dan ben je waarschijnlijk wel vulnerable.

Tevens is het zo dat mensen die modem en/of ISDN verbinding hebben, de verbinding niet kunnen verbreken, hier zorgt het virus ook voor...

@CRIS FRANSSEN:

MS heeft dit lek niet gevonden, een buitenstaander heeft de lek gevonden! En ja, MS brengt er ruim van te voren een patch voor uit. Helaas is het al zooo lang bekend dat er zat gebruikers zijn die niet aan Windows Update doen, gewoonweg te lui zijn of voor de eerste keer in hun leven een pc in hun handen hebben.

@MeAngry:

Ik heb gister 3 mensen gehad en vandaag 2 die ermee zijn gekomen... Werk hier op een helpdesk en het valt gelukkig erg mee omdat wij de pc's uitleveren met WinXP waarin standaard automatic update is ingesteld

Verwijderd 12 augustus 2003 21:18

Ik zie dat er links naar patches voor NT 4 genoemd worden door behulpzame tweakers. Het is echter wel vreemd als je dit antwoord in de Microsft FAQ over dit probleem leest:

Will Microsoft issue a patch for Windows NT 4.0 sometime in the future?

Microsoft has extensively investigated an engineering solution for NT 4.0 and found that the Windows NT 4.0 architecture will not support a fix to this issue, now or in the future.

Ze melden eerder in dat zelfde stuk nog veel uitgebreider dat het gezien de architectuur van NT4 echt volslagen ondoenlijk is dit probleem te patchen. Vervolgens publiceren ze een patch.

"Due to these fundamental differences between Windows NT 4.0 and Windows 2000 and its successors, it is infeasible to rebuild the software for Windows NT 4.0 to eliminate the vulnerability. To do so would require rearchitecting a very significant amount of the Windows NT 4.0 operating system, and not just the RPC component affected. The product of such a rearchitecture effort would be sufficiently incompatible with Windows NT 4.0 that there would be no assurance that applications designed to run on Windows NT 4.0 would continue to operate on the patched system."
Riiiiiiight...
Hier kun je hele verhaal lezen:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/sec urity/bulletin/ms03-010.asp

ErA 12 augustus 2003 22:38

Deze worm is iets wat al veel eerder had moeten komen. Ik vind het dan ook een zeer goede actie.

Dit wel om de volgende reden:

Sinds het moment dat microsoft het lek bekend had gemaakt en enkele programmeurs er een exploit voor hadden geschreven wordt er misbruik van gemaakt door 1000en scriptkiddies in de FXP scene (Ze maken fileservers van gehackte pc's). Het mooie van deze worm is dat hij het aantal bereikbare servers voor deze jongens vele malen kleiner maakt omdat hij vrijwel iedere pc op deze aarde doet reboeten en het daardoor vele malen moeilijker word om op tijd en succesvol (correct me if im wrong) een pc te hacken voordat deze reboot

Het is dan ook op het stukje in de code na waar een massale DDos op MS wordt uitgevoerd dat deze persoon beschouwd kan worden als een ware held.

Als voor ieder lek zoiets gemaakt zou worden, zou het remote misbruiken van pc's zeer hard teruglopen.

Ik vind dus dat deze jongens flinke credits versdient en een hoop lof. Mjah die DDos is nog steeds niet zo relaxt maar jah.

(mocht ik overigens niet gelijk hebben verbeter me ff )

Verwijderd 12 augustus 2003 11:24

hmm net even snel geregistreerd (ja dat was ik nog niet)
maar wat als iemand nu NL versie heb van xp zoals ik dan werkt die patch niet wat moet ik dan doen ?
plz help ! !

MrFish @Verwijderd • 12 augustus 2003 11:29

Installeer een goede firewall (Zonealarm, blackice) en draai vervolgens gewoon windows update. Je hoeft die patch niet apart te installeren van de rest; windowsupdate is voldoende.