Vous êtes sur le site public du Cert-IST
Liste des vers exploitant la vulnérabilité "LSASS" (Microsoft Windows)

Date :20 Juin 2005

Publication: Article

Le Cert-IST a souhaité faire le point sur les différents vers connus actuellement et utilisant la vulnérabilité "LSASS" (CERT-IST/AV-2004.119) et les ports réseaux qu'ils utilisent.

Pour rappel, les différentes versions du ver "Sasser" utilisent la méthode suivante pour infecter une nouvelle machine (cible) depuis une machine déjà infectée (source) :

  1. installation d'un serveur FTP sur un port TCP de la machine la machine source,
  2. recherche d'une machine cible vulnérable (sur le port TCP 445 ou un autre) en générant des scans sur des adresses IP aléatoires,
  3. exploitation de la vulnérabilité LSASS via la port TCP 445 de la machine cible,
  4. lancement d'un "shell" distant sur un autre port TCP de la machine cible,
  5. chargement du code du ver sur la machine cible, depuis le serveur FTP de la machine source.

Les autres vers connus à ce jour et utilisant la vulnérabilité "LSASS" peuvent présenter des variantes quant au chargement de leur code (phases 1, 4 et 5) mais ils recherchent des machines cibles de la même manière (phases 2 et 3).

Pour vous protéger contre de futures exploitation de cette vulnérabilité, le Cert-IST vous recommande de déployer sans plus attendre les correctifs Microsoft systèmes 2000 et XP et surtout ceux dits sensibles.

Nota : Nous souhaitons attirer l'attention sur le fait que le laps de temps entre la parution de la vulnérabilité (ici "LSASS") et la parution de programmes d'exploitation ainsi que leur utilisation aux travers de vers (le premier étant Sasser.A) est de plus en plus court (deux semaines dans le cas de Sasser !).

La mise en place de moyens de déploiement rapide de correctifs de sécurité devient donc de plus en plus nécessaire.

Liste de vers et les ports réseaux utilisés pour leur propagation :

Sasser A, B, C

- Recherche de système et exploite la vulnérabilité LSASS via le port TCP 445

- Téléchargement port TCP 9996 de la victime ("remote shell"), port TCP 5554 de l'attaquant (serveur FTP)

Sasser D

- Recherche de système et exploite la vulnérabilité LSASS via le port TCP 445 (trafic ICMP)

- Téléchargement port TCP 9995 de la victime ("remote shell"), port TCP 5554 de l'attaquant (serveur FTP)

Sasser E

- Recherche de système et exploite la vulnérabilité LSASS via le port TCP 445 (trafic ICMP)

- Téléchargement port TCP 1022 de la victime (remote shell), port TCP 1023 de l'attaquant (serveur FTP)

Bobax.A, B, D

- Recherche de système avec le port TCP 5000

- Exploite la vulnérabilité LSASS via le port TCP 445

- Utilise HTTP (port 80) pour télécharger le code du ver

- Installe un mini serveur SMTP sur un port aléatoire compris entre 2000 et 62000 (TCP) qui peut être utilisé pour du SPAM.

Bobax.C

- Recherche de système avec le port TCP 5000

- Exploite la vulnérabilité LSASS via le port TCP 445

- Exploite la vulnérabilité DCOM RPC via le port TCP 135

Cycle A

- Exploite la vulnérabilité LSASS via le port TCP 445

- Utilise TFTP (UDP 69) pour télécharger le ver

- Ouverture d'un shell sur le port 3332

Kibuv A

- Recherche de système et exploite la vulnérabilité LSASS via le port TCP 445

- Téléchargement du ver sur le port TCP 9604 de la victime ("remote shell"), port TCP 420 de l'attaquant (serveur FTP).

Korgo

- Exploite la vulnérabilité LSASS via le port TCP 445

En conclusion :

L'ensemble des ports et/ou type de trafic générés par les différents vers de type "Sasser" et "confrères" actuellement connus sont :

  • Trafic ICMP (de type "echo request")
  • TCP 80, 135, 420, 445, 1022, 1023, 3332, 5000, 5554, 9604, 9995, 9996
  • TCP 2000 à 62000 (Aléatoire)
  • UDP 69

Nota : A notre connaissance uniquement "Sasser.D" et "Sasser.E" utilisent le flux ICMP pour tester les machines actives.

Pour plus d'information :

Liens vers des avis de Symantec :