Data Contact
Kft. Banner
www.netbiztonsag.hu 2018.04.20.péntek - Névnap: Tivadar 23:45

2004-07-02 22:00:47

[Riasztas] Elérhető az Internet Explorer súlyos hibájának javítása 2004. 07. 02.

Tartalom: -Elérhető az Internet Explorer súlyos hibájának javítása -Megnövekedett számú levél-visszapattanási hibajelzés --- Elérhető az Internet Explorer súlyos hibájának javítása Az elmúlt hetekben az Internet Exploer egyik hibája és több féreg megjelenése okozott számos gondot az Interneten. Az Internet Explorer hibáját egy speciálisan elkészített weboldallal lehet kihasználni. Ha a gyanútlan felhasználó ilyen weboldalra téved, akkor gépe kérdés nélkül futtathatja a weboldalon elhelyezett programkódot. A weboldalon elhelyezett programkód több esetben jelszavak, azonosítók és hitelkártyainformációk lehallgatására, elküldésére lettek létrehozva. A programok egyes esetekben felugró ablakban is megpróbálják rábírni a felhasználót, hogy ezen adatait adja meg. A hibát többször kombinálva használták ki: Az IIS webszerver egyik korábbi hibáját használták ki arra, hogy a programokódot elhelyezzék egy webszerveren, ahonnan a gyanútlan látogatók töltik le, így az említett hiba kihasználására alkalmas eszküz gyakorlatilag bármely weboldalon lehet. A probléma kezelésére korábban mindenki az Internet Explorer használatának korlátozását, és helyette biztonságosabbnak tartott böngésző (pl. Mozilla) használtatát javasolt. Az Internet Explorerben levő számos előfordult hiba, és a hibák lassú, átgondolatlan javítása miatt a szakértők már régóta javasolják az Internet Exploer helyett más böngésző használatát. A mai napon, több hét (türelmetlen, kárt és fáradtságot okozó) várakozás után megjelent az Internet Explorer javítása, mely elérhető a http://www.microsoft.com/security/incident/download_ject.mspx címen, illetve a Windows Update útján. ----- Megnövekedett számú levél-visszapattanási hibajelzés Számos felhasználó jelezte az utóbbi hetekben, hogy százával kap olyan levél-visszapattanási jelzéseket, amelyek olyan levél kézbesíthetetlenségére utalnak, amit nem is ő küldött ki. Ilyen jelentéseket már régebb óta megfigyelhettünk, ilyenkor kéretlen levelek küldői használják fel címünket arra, hogy kéretlen leveleiket a nevünkben küldjék ki. Ennek elsődleges oka, hogy a mai internetes rendszerek kezdik mind jobban felismerni a hamis, nem valódi feladót az internetes levelekben, és a hamis feladójú leveleket kitiltják. A kéretlen levelek küldői ezért valós, létező címet próbálnak feltüntetni a feladó mezőben növelve annak esélyét, hogy üzenetük célba érjen. Az utóbbi hetekben megjelent visszapattanások azonban részben más okra vezethetőek vissza. A levelek gyakorta egy olyan linket tartalmaznak, ami egy weboldalon elhelyezett HarrdCoreTeeens.exe fájlra mutatnak. Ez a fájl jelnlegi ismereteink szerint egy trójai, a Kaspersky lab elnevezése szerint "Trojan.Win32.Dialer.ce". A Dialer trójaiak azért veszélyesek, mert amennyiben a felhasználó telepíti gépére, a trójai megpróbálja a modemesfelhasználó modemjét egy drága, küldöldi telefonszám felhívására kényszeríteni. A külföldi telefonszámon keresztül az internet a korábban megszokott módon üzemelhet tovább, így a felhasználó telefonszámlája megérkezésééig nem észleli a problémát. A modemes felhasználóknak különösen fontos védekezni az ilyen problémák ellen, célszerű a telefonszolgáltatónál a külföldre menő és emelt díjas hívásokat letilttatni, illetve külön kóddal védetté tenni. A program terjesztőinek célja a bevételszerzés a telefonos hívásokból. A programot így megpróbáják hamis feladójú reklámlevelekben terjeszteni, a visszapattanó levelek jelzik azt, hogy címünket is fel próbálták használni. Sajnos a probléma ellen igazi védelem nem létezik, ha az ilyen kézbesítési hibákról szóló levelek kitiltásra kerülnének, úgy esetleg egy valós kézbesítési hibáról sem értesül a küldő. Remélhetőleg a konkrétan ehhez a trójaihoz kapcsolódó hibák száma a következő hetekben csökkenni fog.

2004-05-04 14:50:35

[Riasztas] Sasser Worm - helyzetjelentes 2004.05.04.

Sasser féreg - legfrissebb helyzetjelentés. A hétvégén megjelent Sasser féregnek jelenleg 4 különböző fontos változata jelent meg, ezek rendre: Sasser.Worm.A , .B, .C és .D. A féreg a Windows rendszer LSASS szolgáltatásának hibáját használja ki. A hibáról korábban már riasztást küldtünk, a javítása több hete letölthető a Microsoft oldalairól (MS04-011). Aki akkor megfelelően telepítette a Windows frissítését, az jelenleg védett lehet a féregtől. Terjedés: Mind a négy változat gyorsan terjed. A .D változatra néhány órája jött ki a legfrissebb riasztás, szintén gyorsan terjed. A McAfee riasztási skáláján a C változat alacsony, míg az A,B,D változatok a "közepes" besorolást kaptak, amely igen súlyos veszélyre hívja fel a figyelmet! Több nagy hazai cég belső hálózatát fertőzte meg, még úgy is, hogy azok tűzfallal voltak védve! Védekezés: A Windows frissítések azonnali telepítése. A számítógépek előtti tűzfal megvéd a hálózatról történő terjedéstől. A windows belső tűzfalának bekapcsolása megvédhet a fertőződéstől. Figyelem! Hiába védjük a berendezést tűzfallal, a cégbe érkező fertőzött notebook megtámadhatja az egész cég belső hálózatát. Hiába védekezünk vírusirtóval, ha nem megfelelően friss, akkor az újabb változatokat nem fogja felismerni! A fertőzést a vírusirtók többsége _nem_ tudja megakadályozni, mivel az egy speciális szolgáltatáson keresztül terjed. A vírusirtó gyakran csak a számítógépen létrejövő fájlokat tudja ellenőrizni, ami csak akkor jön létre, amikor a megfertőzött gépen futó féreg elmenti magát, hogy a windows újraindulásakor újra betöltődjön. _Mindenképpen szükséges tehát a Windows LSASS komponensének kijavítása a fertőzés biztos megakadályozásához_ Felismerés: A féreggel fertőzőtt gép gyakran újraindul, LSASS -re hivatkozó hibával. A hiba nem követelmény, gyanú esetén is át kell nézni a gépet! Javítás: A féreg kitörlése megfelelő segédeszközzel ( http://securityresponse.symantec.com/avcenter/FxSasser.exe (1.0.1 A,B,C,D variáns) http://www.f-secure.com/tools/f-sasser.exe http://www.microsoft.com/security/incident/sasser.asp#steps http://www3.ca.com/Files/VirusInformationAndPrevention/clnsasser.zip ) a. A fenti programok csak bizonyos verziókat ismernek fel, így a legújabb D variáns felfedezésére nem biztos, hogy képesek b. Olyan változatokról is érkeznek hírek, amelyeket a jelenlegi eszközök nem találnak meg. c. A fenti eszközök a hiba okát nem javítják, a javítás nélküli LSASS-sel futó gépek továbbra is szabadon "feltörhetőek" maradnak akár rosszindulatú személyek, akár már vírusok, férgek által. Veszélyesség: A fertőzött gép további gépeket tud megfertőzni. Egy fertőzött notebook hálózatba kötése egy tűzfallal védett szegmensbe is becipelheti a kártékony kódot. A fertőzött gépről bármely személy adatokat lophat el, a teljes gépet kontroll alatt tarthatja. Ez munkahelyen azt jelenti, hogy bármely alkalmazott bármely fertőzött gép által elérhető összes információ birtokába juthat. A fertőzött gép felesleges hálózati forgalmat generál és gyakran újraindul. Technikai részletek A féreg általában aveserver.exe vagy skynetave.exe néven menti magát a gép %Windir% alkönyvtárába, erről gyakran felismerhető. C:\Win2.log néven létrehoz egy fájlt, amelyben a megfertőzött gépeket tárolja. ICMP segítségével deríti fel a potenciális áldozatait. A gépen titkos kiskaput nyit az 5554-es porton (FTP), és a 9995-ös TCP porton (Shell).


Impresszum