styczeń 2004

LURHQ opublikował analizę bota/robaka o nazwie Dipnet, odpowiedzialnego za skanowanie portu 11768/TCP, o którym niedawno pisaliśmy.

Robak wykorzystywał port 11768/TCP do rozpoznania, czy dana ofiara jest już zainfekowana najnowszą instancją robaka poprzez wysłanie ciągu „__123_asdasdfdjhsdf_SAFasdfhjsdf_fsd123”. Jeżeli atakowany IP nie był zainfekowany, bądź nie był zainfekowany najnowszą wersją robaka, następował atak na port 445/TCP za pomocą znanej luki w LSASS.

Payload robaka ściągany był z URLa wskazanego podczas procesu infekcji, podobnie jak instrukcje dotyczące IP do zaatakowania. Robak instaluje się w systemie jako usługa NetDDEeipx. Celem robaka jest rozpowszechnienie bota do ataków DDoS. Niektóre warianty robaka korzystały z portu 15118 zamiast 11768. Skanowanie portu 15118 obserwowaliśmy jednak tylko w szczątkowej formie.

Więcej informacji:
http://www.lurhq.com/dipnet.html

Źródło informacji: CERT Polska

W Polsce, inaczej niż w Europie, największym zagrożeniem dla systemów bezpieczeństwa nie są ataki z zewnątrz, ale z wewnątrz firmy – to główny wniosek dotyczący naszego kraju, wynikający z badania „Bezpieczeństwo informacji 2004” opublikowanego przez firmę Ernst&Young.

Przeprowadzający to badanie objęli nim zarówno kradzież danych i sprzętu komputerowego przez pracowników, jak i utratę danych wynikłą z ich błędów, które nierzadko są potem tuszowane.

„Okazuje się, że w Polsce największym zagrożeniem jest zatrudniony człowiek, który chce wykorzystać poufne dane do własnych celów” – mówi Tomasz Bejm, kierujący działem zarządzania ryzykiem informatycznym w E&Y. Tłumaczy, że po części wynika to z niefrasobliwości samych pracodawców, którzy po prostu niedostatecznie kontrolują swoich podwładnych.

„Wielu menedżerów przypisuje większe znaczenie do systemów i pudełek, które mają zabezpieczyć przed atakiem z zewnątrz. Tymczasem każdy system można obejść, gdy w grę wchodzi działanie człowieka – świadome bądź w wyniku błędnej decyzji. Na świecie tendencja jest odwrotna, dlatego największe zagrożenie przedsiębiorcy widzą w ataku wirusów” – tłumaczy Tomasz Bejm.

Inną polską specjalnością pozostają niskie budżety na zapewnienie bezpieczeństwa i zapobieganie utracie informacji. W efekcie polskie przedsiębiorstwa stosują „podejście reaktywne”, tzn. dopiero gdy już się wydarzy nieszczęście, starają się niwelować jego skutki. Tendencja taka dotyczy przede wszystkim małych i średnich przedsiębiorstw. Jeśli chodzi o duże firmy, coraz częściej dbają one o ochronę swoich danych i zatrudniają doświadczone osoby na stanowiskach tzw. oficerów bezpieczeństwa.

„Myślimy, że przykład pójdzie z góry i firmy z sektora MSP też zaczną dbać o bezpieczeństwo informacji swoich i o klientach” – mówi Tomasz Bejm. Jego optymizm nie jest bezpodstawny. Niemal każda z ankietowanych firm deklarowała zamiar zwiększenia wydatków na ochronę danych w 2005 r.

Zobacz również:
Światowe Badanie dotyczące Bezpieczeństwa Informacji 2004 (Adobe Acrobat, 4.16 MB)
Bezpieczeństwo Informacji 2004 – Wyniki dotyczące Polski (Adobe Acrobat, 608 KB)

Microsoft wydał pierwsze aktualizacje zabezpieczeń systemu Windows na styczeń 2005 roku. Składają się one z kilku ważnych aktualizacji dla systemu Microsoft Windows oraz niektórych instalacji programu Microsoft Internet Explorer 6.0 SP1, składnika systemu Windows.

Pierwsza aktualizacja pozwala usunąć nowo wykryte zagrożenie, które występuje w formancie ActiveX systemu pomocy w formacie HTML w systemie Windows. Usterka może pozwolić na ujawnienie informacji lub na zdalne wykonanie kodu.

Druga aktualizacja poprawia błędy w sposobie obsługi formatu kursorów, animowanych kursorów i ikon, która umożliwiająca zdalne wykonanie kodu. Osoba atakująca może wykorzystać tę usterkę, tworząc specjalny kursor/ikonę, która może potencjalnie pozwolić na zdalne wykonanie kodu, jeśli użytkownik odwiedzi niebezpieczną witrynę sieci Web lub wyświetli niebezpieczną wiadomość e-mail. Osoba atakująca, której uda się wykorzystać tę usterkę, może uzyskać pełną kontrolę nad systemem podlegającym usterce.

Ostatnia, trzecia poprawka dotyczy błędu występującego w usłudze indeksowania. Osoba atakująca może wykorzystać tę usterkę, tworząc szkodliwe zapytanie, co potencjalnie umożliwia zdalne wykonanie kodu w systemie, którego dotyczy ten problem. Osoba atakująca, której uda się wykorzystać tę usterkę, może uzyskać pełną kontrolę nad systemem podlegającym usterce. Chociaż zdalne wykonanie kodu jest możliwe, atak spowodowałby najprawdopodobniej wystąpienie stanu „odmowa usługi”.

Zaleca się jak najszybsze uaktualnienie systemów Windows poprzez witrynę Windows Update. Opis i poprawki dostępne są tutaj.