O que todo
executivo deve saber sobre o worm Sasser
|
 |
 |
|
Impacto nos negócios
Nível quatro – Grave
Ameaça atual: W32.Sasser.B.Worm
Vulnerabilidade anunciada: Atualização
de segurança MS04-011 da Microsoft de 13 de
abril de 2004
Sistemas afetados: XP e 2000 são vulneráveis
Sistemas não afetados: Linux, Macintosh, UNIX,
Windows 3.x
Região: Taxa de infecção mais
alta registrada na região da Europa, Oriente
Médio e África, seguida pelas Américas,
APAC e Japão.
Mercados: Alto índice de penetração
em sistemas de usuários domésticos
Efeitos: Milhões de sistemas domésticos
já estão infectados. O impacto global
dessas ameaças permanece alto e demonstra claramente
o uso de técnicas eficientes sem a intervenção
do usuário, usadas para infectar remotamente
milhões de sistemas. O Sasser.B.Worm representa
um risco para redes corporativas ao se aproveitar de
conexões do tipo “porta de trás” estabelecidas
com redes domésticas desprotegidas de funcionários.
Visão geral
Como a infecção ocorre: Esse worm tenta
explorar uma vulnerabilidade de estouro de buffer no
Serviço de subsistema de autoridade de segurança
local (LSASS). A interface do LSASS é um alvo
atraente para hackers, pois apresenta uma falha que
contém componentes de autenticação,
além de ser fácil de explorar. Essa falha,
quando explorada, permite que um hacker controle totalmente
o computador da vítima.
O Sasser.B.Worm se propaga ao verificar endereços
IP aleatórios em busca de sistemas vulneráveis
na porta TCP 445. Após se conectar à porta,
ele tenta explorar a vulnerabilidade do LSASS criando
e executando um script. O sistema atacado faz o download
e executa o worm a partir de um host infectado. O sistema
também passa a agir como um servidor FTP (na
porta TCP 5554). Embora a Microsoft tenha anunciado
essa vulnerabilidade e criado uma correção
lançada em 13 de abril de 2004, diversos usuários
não instalaram a correção, especialmente
em redes domésticas, deixando seus sistemas
vulneráveis a infecções. O Sasser.B.Worm
demonstra mais uma vez que o intervalo de tempo entre
o anúncio de uma falha e um ataque sério
que a explora está cada vez mais curto.
O
que os executivos devem saber
O Relatório de Ameaças à Segurança
da Internet de 2003 demonstrou que a porta TCP 445
foi uma das dez portas mais atacadas no ano de 2003.
O Sasser.B.Worm comprova que essa tendência continua
em 2004, portanto executivos deveriam se certificar
de que suas conexões internas e externas estejam
protegidas (o que inclui as redes domésticas
de funcionários). Esse worm começou a
infectar computadores em um fim de semana. Ele pode
infectar redes corporativas quando usuários
desligam seus notebooks e retornam ao trabalho, após
usarem seus sistemas desprotegidos em redes domésticas
remotas durante o fim de semana, demonstrando assim
a necessidade de uma segurança rigorosa em redes
domésticas e de usuários.
Os executivos não podem se deixar enganar pelo fato de que
diversas infecções ocorrem em redes domésticas.
Empresas que não possuem uma segurança adequada em redes
domésticas de clientes e funcionários podem ser infectadas
facilmente através de conexões do tipo "porta de
trás". Tim Mather, Diretor de Segurança da Symantec,
afirmou que “o Sasser.B.Worm não é uma ameaça
que ataca a maioria das empresas pela porta da frente, uma vez que
a porta usada (445) deve estar bloqueada. Porém, usuários
domésticos que não possuem um firewall pessoal ou as
correções de segurança podem ser infectados pelo
Sasser.B.Worm. Sendo assim, quando esses usuários tentarem conectar
seu computador doméstico infectado à rede corporativa
remota (por exemplo, usando uma conexão VPN), o Sasser.B.Worm
poderá ser introduzido na rede da empresa através dessa
conexão pela "porta de trás". Como a maioria
das empresas (especialmente as que utilizam o Active Directory da Microsoft)
não bloqueia internamente a porta 445 (usada para os Serviços
de Diretório da Microsoft), esses sistemas infectados tentarão
espalhar o worm para outros sistemas internos desprotegidos.”
Em 2004, veremos ameaças cada vez mais complexas e velozes.
Os executivos deverão garantir a implantação de
controles adequados, a fim de proteger e bloquear a propagação
dessas ameaças. Eles devem compreender o impacto que isso pode
ter nos negócios, bem como treinar suas equipes para que políticas
de respostas sejam implementadas. Os usuários domésticos
devem instalar e atualizar seu software antivírus e investir
em um firewall eficaz. Além disso, todos os usuários
de sistemas domésticos devem ser instruídos sobre a execução
de anexos de e-mail. Os usuários domésticos e pequenos
escritórios têm ajudado na propagação desse
worm.
Principais problemas: o que deve ser evitado
1. Degradação da rede
Ao ser ativado, esse worm se copia para uma pasta
no diretório do Sistema do Windows e adiciona
uma chave de execução ao Registro
que é carregada durante a inicialização
do sistema. O sistema também passa a agir
como um servidor FTP (na porta TCP 5554). A propagação
pode prejudicar o desempenho e os recursos da rede
(como a CPU e a memória).
2. Infecções na rede corporativa
Usuários domésticos infectados que
tentem conectar remotamente seu computador doméstico
infectado à rede corporativa (por exemplo,
via uma conexão VPN) irão infectar
as redes corporativas.
Como reparar
A Symantec criou uma ferramenta de remoção
desse worm que pode ser obtida no seguinte URL:
http://www.symantec.com/region/br/techsupp/avcenter/venc/data/br-w32.sasser.removal.tool.html
Recomendações e práticas
a serem adotadas
1. Instale a correção do Microsoft
Security Bulletin MS04-11, a fim de impedir que a
falha de estouro de buffer do LSASS seja explorada
por essa ameaça.
2. Use um gateway ou firewall pessoal para bloquear
todas as conexões de entrada da Internet a
serviços que não devem estar disponíveis
ao público. As portas 445, 5554 e 9996 têm
sido especialmente utilizadas nesse ataque.
3. Consulte o documento detalhado para obter uma
lista de práticas e recomendações:
http://www.symantec.com/region/br/techsupp/avcenter/venc/data/br-w32.sasser.b.worm.html
Links Relacionados:
|
