В седьмом ежегодном обзоре
Computer Crime and Security Survey (Обзор компьютерных преступлений и защиты),
выпущенном Институтом компьютерной безопасности (Computer Security Institute,
CSI) и ФБР, приводятся следующие данные.Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
1.Модификация интернет-червя Klez (Klez.h) использует брешь в системе
безопасности Internet Explorer (уязвимость тэга IFRAME), благодаря чему заражает
компьютер после прочтения инфицированного письма. Эта особенность практически
исключает человеческий фактор и многократно повышает эффективность заражения
и скорость распространения червя.
В поле subject может содержаться запись:
A new website
Introduction on ADSL
Fw: virus, japanese lass sexy pictures
A very new game
NOSHADE CLASS
В тексте письма может содержаться запись:
This is a new website.I wish you would like it.
This game is my first work. Youre the first player. I hope you would enjoy
it.
Вирус рассылает себя по всем адресам и переписывает случайно исполняемые файлы (PE) в системе, делая их бесполезными. Он также генерирует файл Wink.exe, который на самом деле является вирусом под именем W32/Elkern.C.
Необходимо установить программу-заплатку для Internet Explorer, которая доступна на портале Microsoft.
2. Появился почтовый червь I-Worm.MyLife, распространяющийся в виде вложений к электронным сообщениям. Зараженный файл носит название My Life.scr. Заголовок письма: my life ohhhhhhhhhhhhh, в теле письма текст, который выглядит как творение совершенно пьяного чeловeка, работающего на разбитой клавиатуре:
HiiiiiHow are youuuuuuuu?
look to the digital picture its my love
vvvery verrrry ffffunny :-)
my life= my car
my car= my house
Червь является приложением Windows (PE EXE-файл), имеет размер около 30KБ (упакован UPX, размер распакованного файла около 55KБ), написан на Visual Basic. Он активизируется, только если пользователь сам запускает зараженный файл. Затем он инсталлирует себя в систему копирует себя с именем My Life.scr в системный каталог Windows, регистрирует этот файл в ключе автозапуска системного реестра и запускает процедуру своего распространения. Если червь запущен в системе в первый раз, то он показывает окно с картинкой. Когда пользователь закрывает это окно, червь запускает свою деструктивную процедуру. А деструктивная функция у него серьезная: он проверяет системное время, и если до конца часа остается меньше 15 минут, удаляет файлы с раширениями .SYS и .COM в корневой директории диска C:, файлы с рассширениями .COM, .SYS, .INI, .EXE в каталоге Windows, а также файлы с расширениями .SYS, .VXD, .EXE, .DLL в системном каталоге Windows.
В седьмом ежегодном обзоре
Computer Crime and Security Survey (Обзор компьютерных преступлений и защиты),
выпущенном Институтом компьютерной безопасности (Computer Security Institute,
CSI) и ФБР, приводятся следующие данные.
За прошедший год около 90% компаний, включенных в обзор, обнаружили у себя бреши в системе безопасности, и 80% сообщили о потерях в связи с этими брешами.
Наиболее серьезными последствиями были: кражи информации (41% респондентов
сообщают о потерях на сумму более $170млн), финансовые мошенничества (почти
$116млн). 74% участников опроса считают источником атак Интернет, а 33% утверждают,
что превалировали внутренние атаки. В обзоре участвовали 500 сотрудников, отвечающих
за безопасность в компаниях США.
Обзор можно отыскать на сайте http://www.gocsi.com/press/20020407.html.
Компания Microsoft выпустила:
•очередное обновление для ОС WindowsXP Home и Professional Edition,
а также новый патч для ОС Windows2000. Обновление позволяет решить проблемы
с записью компакт-дисков при использовании стандартных средств системы. Компания
Microsoft ранее уже выпустила патч, решающий данную проблему, однако появление
второго обновления говорит о том, что первая попытка залатать дыру в системе
оказалась неудачной. Данный патч необходим пользователями, которые сталкиваются
со следующими проблемами: постоянные ошибки при записи CD-R/RW, невозможность
(опять-таки) чтения диска в других ОС и CD/MP3 плейерах, ошибки при добавлении
файлов для записи на CD.
•патч для ОС Windows2000 решает проблемы с дырой, которая может быть
использована для изменения уровня доступа пользователей. Это, в свою очередь,
может привести к блокированию текущих правил доступа групп пользователей (Group
Policy), восстановлению старых установок безопасности и их применению в обход
новых правил, установленных администратором.
•заплатку для Internet Information Server версий4.0, 5.0 и 5.1 http://www.microsoft.com/technet/security/bulletin/MS02-018.asp.
Данная заплата позволяет устранить значительное число проблем, связанных с IIS,
которые были обнаружены в последнее время. В частности, особое внимание обращается
на устранение дыр в защите сервера, позволяющих получить доступ к управлению
им извне.
По данным Security Focus http://online.securityfocus.com/bid/4407/,
обнаружено уязвимое место в MailSafe, фильтрующем содержимое на ZoneAlarm.
Функция MailSafe в ZoneAlarm, одной из наиболее широко используемых защитных систем, обеспечивает фильтрацию содержимого и блокировку определенных файлов в соответствии с заданными параметрами. Наиболее частой практикой является блокировка исполняемых файлов, в основном это файлы .exe. Однако, хакер (или червь, созданный специально для этой цели) могут преодолеть этот защитный уровень, если включат точку (.) после полного имени файла. Поэтому файл malicious_file.exe не будет блокирован, если он будет выглядеть следующим образом: malicious_file.exe..
Компания ZoneLabs уже решила эту проблему, которая относилась к версиям до3.0.118. Для адекватного обновления ПО и исправления ошибки надо обратиться к опции Check for Update в ZoneAlarm.
Microsoft выпустила патчи к
браузеру Internet Explorer и XML Core Services2.6. Позднее выяснилось, что
аналогичные проблемы присущи MSSQL Server и Commerce Server2000.
Проблемы Internet Explorer
Cкрипты Visual Basic (VBScripts) в IE имеют возможность, активизировавшись в
одном фрейме браузера, считывать информацию из других фреймов. Поэтому хакер
может заманить пользователя на особую Web-страницу или послать ему HTML-письмо,
и благодаря этому либо увидеть (и только увидеть) все, что находится на жестком
диске у жертвы, либо просматривать вместе с ничего не подозревающим пользователем
все посещаемые им Web-страницы. Во втором случае в распоряжении хакера могут
оказаться номера кредитных карт и другая важная информация.
Уязвимость характерна для версий 5.01SP2, 5.5SP1, 5.5SP2 и 6.0.
Уязвимость в The XML Core Services
ПО XML Core Services2.6 поставляется вместе с Internet Explorer6.0, SQL Server2000
и включено во все версии WindowsXP. Эта программа имеет уязвимое место, аналогичное
вышеописанной уязвимости Internet Explorer, и хакер точно так же может считывать
информацию с винчестера пользователя.
Дыра обнаружена в управляющем элементе ActiveX XMLHTTP, который позволяет отправлять и получать XML-данные через протокол HTTP.
В XMLHTTP не производится должная проверка установок безопасности для некоторых запросов, посылаемых Web-страницами, так что хакер теоретически может считывать какие-либо данные с жесткого диска пользователя через Web-страницу. Правда, для этого ему сперва придется заманить жертву на определенный адрес, поскольку HTML-письмом тут не обойдешься. Что важно, комбинация уязвимости в IE и XMLHTTP, в принципе, может позволить хакеру узнать полный путь к любому файлу на чужом компьютере, который ему может понадобиться, и прочитать его.
Уязвимость в Commerce Server
Дыра в Commerce Server2000 носит принципиально иной характер. Через нее хакер
может устроить DoS-атаку или даже запустить на сервере любую программу. При
том, что Commerce Server создан на базе IIS, сам Internet Information Server
этой уязвимости не подвержен.
Проблемной является одна из стандартных программ Commerce Server AuthFilter,
которая выполняет некоторые аутентификационные процедуры. Злоумышленник, скормив
программе определенную информацию, может устроить переполнение ее буфера или
заставить ее саму запустить какую-нибудь хакерскую программу. Поскольку процедуры,
выполняемые AuthFilter, имеют высокий приоритет, хакер может получить полный
контроль над сервером, а в некоторых случаях и над всей подключенной к нему
сетью, в зависимости от степени доступности Commerce Server.
Подверженность DoS-атакам SQLServer
Уязвимость SQL Server7.0 и 2000 оставляет возможность для DoS-атак. Хакер может
послать на этот сервер определенным образом сконфигурированный запрос базы данных
через Web-сайт или попытаться загрузить его прямо на сервере. Переполнение буфера
или обрушит сервер, или предоставит возможность злоумышленнику запустить свою
программу с таким же системным приоритетом, как у самого сервера. Впрочем, эту
уязвимость можно использовать не всегда, все зависит от конфигурации сервера.
Системы поиска в Интернет,
которые позволяют пользователю путем ввода нескольких ключевых слов найти Web-сайты,
могут быть также использованы для определения потенциально уязвимых мест. Наиболее
часто встречаются атаки, использующие уязвимые места отдельных компонентов серверов,
например, CGI или некоторые фильтры ISAPI для информации из Internet Information
Server. Относительно легко использовать эту уязвимость посредством браузера.
Нужно ввести специфический URL, содержащий ссылку на уязвимую тему (например,
имя определенного CGI). Этот тип атаки широко использовался червями вроде Code
Red или Nimda для заражения Web-серверов. Для того чтобы использовать поисковые
машины в розыске уязвимых Web-сайтов, хакеры посылают запросы, содержащие уязвимые
темы как параметры. Поэтому поисковые машины возвращают URL сайтов, которые
могут быть уязвимы.
Основная проблема хакера заключается в большом количестве положительных ответов,
поскольку результат будет включать Web-сайты со статьями или документами, в
которых URL фигурирует как пример описания уязвимого места. В некоторых случаях,
хотя хакеру и удается обнаружить реальный URL, может оказаться, что сервер уже
обновлен, и, таким образом, потенциальная брешь не может быть использована.
КОМПЬЮТЕР-ИНФОРМ
Рубрики || Работа
|| Услуги || Поиск
|| Архив || Дни
рождения
О "КИ" || График
выхода || Карта сайта || Подписка
Рассылка анонсов газеты по электронной почте
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл 77-4461 от 2 апреля 2001 г.
Перепечатка материалов
без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул.Заставская, д.23, БЦ "Авиатор", 3-й этаж, офис 307
e-mail: editor@ci.ru
Для пресс-релизов и новостей news@ci.ru