Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / Vulnerabilidades / W32/Nimda, más vale prevenir que curar

W32/Nimda, más vale prevenir que curar

Por Leave a Comment

Nimda es capaz de infectar sistemas Windows, tanto clientes cómo
servidores, y aprovecha vulnerabilidades en los productos de
Microsoft para hacerlo de forma automática, sin necesidad de
intervención por parte del usuario. En esta entrega haremos especial
hincapié en la prevención, ya que algunos medios y casas antivirus
están proporcionando métodos y enlaces que pueden provocar la
reaparición de antiguos agujeros de seguridad.
Cada vez son más los gusanos que aprovechan vulnerabilidades en el
software y utilizan auténticas técnicas de «hacking» para propagarse
de forma automática, sin necesidad de que el usuario tenga que abrir
o ejecutar un archivo. Una vez más insistimos en la importancia de
mantener los sistemas puntual y correctamente actualizados.

En el caso concreto de Nimda los afectados, cómo suele ser habitual,
son productos de Microsoft, pero esta vez por partida doble.

Clientes Win9x/NT/2000/ME (Internet Explorer y Outlook/Outlook Express)

En clientes Windows, Nimda explota una vulnerabilidad de Internet
Explorer a través de la cual es posible forzar la ejecución automática
de un binario adjunto en un mensaje de correo (.EML). Para lograrlo
modifica la cabecera MIME que hace referencia al archivo de forma que
simula ser un formato confiable, en el caso que nos ocupa un archivo
de audio. Esto provoca que Internet Explorer lo abra sin preguntar al
usuario. Esta vulnerabilidad es heredada por los clientes de correo
Outlook y Oulook Express, ya que utilizan el componente de Internet
Explorer para visualizar los mensajes HTML.

En definitiva, la visualización de una página web, o la simple
recepción y previsualización de un mensaje de correo HTML, puede
provocar la ejecución de un archivo sin la intervención del usuario,
en el caso que nos ocupa el archivo «readme.exe».

Esta vulnerabilidad fue descubierta en marzo de 2001 por nuestro
colega Juan Carlos García Cuartango, si me permiten la cuña
publicitaria, uno de los creadores y docentes del curso Seguridad
Internet en Windows 2000 (http://www.hispasec.com/formacion/intro.htm)

Microsoft facilitó el correspondiente parche el 29 de marzo de 2001,
que deberían aplicar los usuarios de Internet Explorer 5.01 y 5.5,
disponible en:
http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp

En vez de esta actualización, recomendamos instalar un segundo parche
distribuido el 16 de mayo de 2001 que corrige la vulnerabilidad
comentada junto a otros problemas posteriores, disponibles según
versión en:

Internet Explorer 5.01
http://www.microsoft.com/windows/ie/download/critical/q295106/default.asp

Internet Explorer 5.5
http://www.microsoft.com/windows/ie/download/critical/q299618/default.asp

Es importante instalar la última actualización acumulativa disponible,
o Service Pack (según configuración), para evitar que reaparezcan
antiguas vulnerabilidades al instalar parches anteriores.

Servidores Web NT/2000 (Internet Information Server)

En servidores Windows, Nimda explota una vulnerabilidad que Microsoft
denominó «Web Server Folder Traversal», que permite ejecutar archivos
en el servidor a través de una URL especialmente formada en
codificación Unicode.

El gusano aprovecha esta vulnerabilidad para ejecutar una sesión de
TFTP y descargar en el servidor web el archivo ADMIN.DLL, y así
infectarlo de forma que rastrea IPs en busca de otros servidores
web que poder infectar. Asimismo, busca y modifica los archivos con
nombre DEFAULT, INDEX, MAIN o README y extensión HTM, HTML o ASP
para incluir código JavaScript. De esta forma incluye el código que
explota la vulnerabilidad del Internet Explorer, comentada al
principio, con lo que provoca la infección de clientes que visiten
sus páginas web.

Microsoft facilitó una actualización de seguridad para esta
vulnerabilidad en octubre de 2000, disponible en la dirección:

http://www.microsoft.com/technet/security/bulletin/ms00-078.asp

Las actualizaciones, según versión del Internet Information Server:

Microsoft IIS 4.0:
http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp

Microsoft IIS 5.0:
http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp

Sin embargo, de nuevo no recomendamos utilizar estas actualizaciones
que se están difundiendo en la mayoría de los avisos, en su lugar
debería instalarse la última actualización acumulativa del 17 de
agosto de 2001:

http://www.microsoft.com/technet/security/bulletin/MS01-044.asp

Según versión:

IIS 4.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32061

IIS 5.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32011

Es muy importante guardar el orden al parchear (Service Packs,
acumulativos y específicos), evitando instalar actualizaciones
posteriores que pueden generar la reaparición de vulnerabilidades
ya corregidas con anterioridad.

En la próxima entrega nos centraremos en el análisis del virus y
procedimientos para su eliminación.

Más información:

Virus I-Worm.Nimda – Un poco de todo
http://www.avp-es.com/virus/nimda.html

«Nimda» Worm A High Risk Threat
http://www3.ca.com/Press/PressRelease.asp?id=1762

Nimda
http://www.f-secure.com/v-descs/nimda.shtml

W32/Nimda@MM
http://vil.nai.com/vil/virusSummary.asp?virus_k=99209

Nimda
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=Nimda

W32.Nimda.A@mm
http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html

Nimda worm hits net
http://www.securityfocus.com/templates/article.html?id=253

W32/Nimda
http://www.sophos.com/virusinfo/analyses/w32nimdaa.html

TROJ_NIMDA.A
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_NIMDA.A

Bernardo Quintero
bernardo@hispasec.com

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.