Szerző: BME IK ITSec | Dátum: 2004-03-22 11:30 | Rovat: Szoftver | Forrás: BME IK ITSec Csoport
Újabb példáját láthatjuk, hogy miért kell folyamatosan frissíteni szoftvereinket. Március 20-án az Incidents.org portál figyelt fel először arra, hogy a 4000-es UDP portról feltűnően megnőtt a forgalom. Rövid időn belül kiderült, hogy emögött egy új féreg, a Witty áll, ami az Internet Security Systems cég BlackICE és RealSecure tűzfalainak március 18-án közreadott sérülékenységét használja ki.
A hiba az ISS Protokoll Analizáló Moduljában (PAM) található, és az ICQ protokolljának feldolgozásához kapcsolódik. A puffer túlcsordulásos hibát úgy lehet elérni, hogy a 4000-es UDP portról kell küldeni egy csomagot, amit a tűzfal hibásan ICQ 5 szerver által küldött üzenetként azonosít, majd továbbítja azt a veszéyeztetett algoritmusnak. Ezen keresztül a támadó távolról akármilyen kódot végre tud hajtani.
A Witty UDP csomagja 1025 byte hosszú, a kártékony rész az első 470 byte-on található. Ha ez az UDP csomag megfertőzte a számítógépet, akkor első lépésben megpróbálja továbbküldeni magát véletlenül kiválasztott IP címekre. 20.000 csomag elküldése után véletlen adatokat kezd a merevlemezre írni, ezzel hatalmas károkat tud okozni a fájlrendszerben.
Mivel ez a féreg nem fájlban terjed, hanem a memóriában található, a gép újraindításával írtható ki. Csak a következő szoftverekkel rendelkező gépek veszélyeztetettek:
Az érintett szoftverek frissítése letölthető az ISS weboldaláról.
Szeretnénk felhívni a figyelmet arra, hogy a sérülékenység publikálása után milyen hamar megjelent ez a féreg. Míg a tavalyi Blasternek még 1 hónap kellett a publikálástól az elterjedésig, a Wittynek már csak két napra volt szüksége. A rendszergazdáknak tehát a frissítéseket nagyon komolyan kell venni, mert az ISS szoftverekkel ellátott gépek gazdáit kellemetlen meglepetés (adatvesztés) érheti a napokban.
Krasznay Csaba (BME IK ITSec Csoport - IHM-együttműködés)
