SANS Institute informa de l'existència d'un cuc, Zotob.A que s'aprofita de la vulnerabilitat MS05-039 per a la seva propagació. Un cop infectada, la màquina amb el cuc es transforma en un servidor FTP i analitza l'existència de sistemes amb el port 445/tcp obert i l'ataca.
Quatre consideracions bàsiques:
- La instal·lació de l'actualització facilitada per Microsoft protegeix davant d'aquest cuc.
- Els sistemes Windows XP amb SP2 i Windows 2003 no són vulnerables a aquest cuc en particular, encara que no s'hagi instal·lat l'actualització.
- Una mesura de prevenció és bloquejar el port 445/tcp
- El servidor ftp no està associat al port 21/tcp sinó a un port aleatori.
Algunes regles per SNORT per detectar l'activitat d'aquest cuc: alert tcp any any -> any 445 (msg:"EXPLOIT SMB-DS Microsoft Windows 2000 Plug
and Play Vulnerability"; flow:to_server,established; content:"|FF|SMB%";
depth:5;offset:4; nocase; content:"|2600|"; depth:2; offset:65; content:"
|67157a76|";reference:url,www.microsoft.com/technet/security/Bulletin/MS05-039.mspx;
classtype:attempted-admin; sid:1000130; rev:1;)
alert tcp any any -> any 139 (msg:"EXPLOIT NETBIOS SMB Microsoft Windows 2000 PNP
Vuln"; flow:to_server,established; content:"|FF|SMB%"; depth:5;offset:4; nocase;
content:"|2600|"; depth:2; offset:65; content:"|3600|"; offset:110; within:5;
content:"|F6387A76|";reference:url,www.microsoft.com/technet/security/Bulletin/MS05-039.mspx;
classtype:attempted-admin; sid:1000131; rev:1;)
alert tcp any any -> any 445 (msg:"EXPLOIT NETBIOS SMB-DS Microsoft Windows 2000 PNP
Vuln"; flow:to_server,established; content:"|FF|SMB%"; depth:5;offset: 4; nocase;
content:"|2600|"; depth:2; offset:65; content:"|3600|"; offset:110; within:5;
content:"|F6387A76|";reference:url,www.microsoft.com/technet/security/Bulletin/MS05-039.mspx;
classtype:attempted-admin; sid:1000132; rev:1;)
. Si no s'indica expressament el contrari, el material publicat en aquest weblog es distribueix d'acord amb la llicència Creative Commons. El contingut és responsabilitat única i exclusivament del seu autor i no té cap relació amb les seves activitats professionals.
