|
Bulletin d'alerte K-OTik Security : Attaques IIS/Internet Explorer/Scob
|
|
: Ces attaques étant relativement "ciblées et bien localisées", nous avons qualifié le risque de "Moyen" (niveau 2/4). Cependant, les vulnérabilités d'Internet Explorer, exploitées dans cet incident, sont jugées : Critiques.
--------------------------------------------------------------------------------------------------------------
|
|
Contrairement à ce qu'affirment certains sites/médias plus ou moins spécialisés, il n'y a AUCUNE propagation d'un virus/ver ciblant les serveurs Microsoft IIS, et aucune propagation d'un virus ciblant les internautes (Scob et Berbew ne sont PAS des virus/ver. Scob est un code javascript chargé d'installer le Trojan berbew).
Un groupe de pirates inconnu est parvenu à pénétrer les sites web de nombreuses sociétés. Ils les ont infectés afin que tous les visiteurs de ces sites reçoivent à leur tour un logiciel espion s'il utilisent Internet Explorer (plus exactement un exe, deux dll, un vbs et différents fichiers de log, ressources etc).
|
|
Update (1) : Le nombre de serveurs web IIS 5.0 compromis est relativement réduit, ces serveurs sont actuellement utilisés pour infecter les internautes (exploitation de deux vulnérabilités critiques et non patchées d'IE, et installation du trojan Berbew, dont le but est de capturer les identifiants Ebay, Paypal, Earthlink, Juno et Yahoo). Le code javascript malicieux, chargé de l'installation distante du trojan "Berbew", est identifié par les antivirus sous le nom "JS.Scob.Trojan".
Update (2) : Microsoft a publié un correctif fixant cette vulnérabilité critique d'internet Explorer MS04-024 (le 30 Juillet 2004)
D'après les investigations menées par la Cellule Incidents K-OTik Security en collaboration avec le SANS Institute, deux théories sont possibles :
a) D'anciens patchs de sécurité n'ont pas été correctement appliqués par les administrateurs.
b) Les serveurs ont été compromis antérieurement (en Avril 2004) avec l'exploit PCT-SSL (avant l'application du patch MS04-011).
Prévention/Protection :
Pour les Administrateurs :
1) Utiliser MBSA afin de vérifier la présence des différents correctifs Microsoft.
2) Appliquer cette signature Snort :
-------------------------------------------------------------------------------------------------------------
alert tcp any any -> any any (msg:"BLEEDING-EDGE Unknown IIS Worm Code in Transit"; content:"217.107.218.147"; classtype:trojan-activity; sid:2000311; rev:2;)
alert tcp any any -> any any (msg:"BLEEDING-EDGE Unknown IIS Worm Code in Transit"; content:"function gc099"; classtype:trojan-activity; sid:2000312; rev:2;)
alert tcp any any -> any 80 (msg:"BLEEDING-EDGE Unknown IIS Worm Client Visiting Infected Page"; uricontent:"/dot.php"; classtype:trojan-activity; sid:2000313; rev:2;)
alert tcp any any -> any any (msg:"BLEEDING-EDGE Possible Unknown IIS Exploit In Transit"; content:"mms\://"; nocase; content:"ADODB.Stream"; nocase;classtype: trojan-activity; sid:2000314; rev:1;)
alert tcp any any -> any any (msg:"BLEEDING-EDGE Possible Unknown IIS Exploit In Transit"; content:"%6D"; nocase; content:"%53%74%72%65%61%6D"; nocase; content:"%41%44%4F%44%42%2E"; nocase; classtype: trojan-activity; sid:2000315; rev:1;)
-------------------------------------------------------------------------------------------------------------
Pour les utilisateurs :
1) Mettre à jour votre antivirus (défense anti "JS.Scob.Trojan" et "Berbew").
2) Appliquer le correctif
3) Désactivez Javascript
4) Utiliser un navigateur autre que Microsoft Internet Explorer
Microsoft - http://www.microsoft.com/security/incident/download_ject.mspx
MS KB 871277 - http://support.microsoft.com/?kbid=871277
Analyse Berbew - http://www.lurhq.com/berbew.html
F-Secure - http://www.f-secure.com/v-descs/scob.shtml
Symantec - http://www.symantec.com/avcenter/venc/data/js.scob.trojan.html
"Berbew"
|
