Nimda es capaz de infectar sistemas Windows, tanto clientes cómo
servidores, y aprovecha vulnerabilidades en los productos de
Microsoft para hacerlo de forma automática, sin necesidad de
intervención por parte del usuario. En esta entrega haremos especial
hincapié en la prevención, ya que algunos medios y casas antivirus
están proporcionando métodos y enlaces que pueden provocar la
reaparición de antiguos agujeros de seguridad.
Cada vez son más los gusanos que aprovechan vulnerabilidades en el
software y utilizan auténticas técnicas de «hacking» para propagarse
de forma automática, sin necesidad de que el usuario tenga que abrir
o ejecutar un archivo. Una vez más insistimos en la importancia de
mantener los sistemas puntual y correctamente actualizados.
En el caso concreto de Nimda los afectados, cómo suele ser habitual,
son productos de Microsoft, pero esta vez por partida doble.
Clientes Win9x/NT/2000/ME (Internet Explorer y Outlook/Outlook Express)
En clientes Windows, Nimda explota una vulnerabilidad de Internet
Explorer a través de la cual es posible forzar la ejecución automática
de un binario adjunto en un mensaje de correo (.EML). Para lograrlo
modifica la cabecera MIME que hace referencia al archivo de forma que
simula ser un formato confiable, en el caso que nos ocupa un archivo
de audio. Esto provoca que Internet Explorer lo abra sin preguntar al
usuario. Esta vulnerabilidad es heredada por los clientes de correo
Outlook y Oulook Express, ya que utilizan el componente de Internet
Explorer para visualizar los mensajes HTML.
En definitiva, la visualización de una página web, o la simple
recepción y previsualización de un mensaje de correo HTML, puede
provocar la ejecución de un archivo sin la intervención del usuario,
en el caso que nos ocupa el archivo «readme.exe».
Esta vulnerabilidad fue descubierta en marzo de 2001 por nuestro
colega Juan Carlos García Cuartango, si me permiten la cuña
publicitaria, uno de los creadores y docentes del curso Seguridad
Internet en Windows 2000 (http://www.hispasec.com/formacion/intro.htm)
Microsoft facilitó el correspondiente parche el 29 de marzo de 2001,
que deberían aplicar los usuarios de Internet Explorer 5.01 y 5.5,
disponible en:
http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp
En vez de esta actualización, recomendamos instalar un segundo parche
distribuido el 16 de mayo de 2001 que corrige la vulnerabilidad
comentada junto a otros problemas posteriores, disponibles según
versión en:
Internet Explorer 5.01
http://www.microsoft.com/windows/ie/download/critical/q295106/default.asp
Internet Explorer 5.5
http://www.microsoft.com/windows/ie/download/critical/q299618/default.asp
Es importante instalar la última actualización acumulativa disponible,
o Service Pack (según configuración), para evitar que reaparezcan
antiguas vulnerabilidades al instalar parches anteriores.
Servidores Web NT/2000 (Internet Information Server)
En servidores Windows, Nimda explota una vulnerabilidad que Microsoft
denominó «Web Server Folder Traversal», que permite ejecutar archivos
en el servidor a través de una URL especialmente formada en
codificación Unicode.
El gusano aprovecha esta vulnerabilidad para ejecutar una sesión de
TFTP y descargar en el servidor web el archivo ADMIN.DLL, y así
infectarlo de forma que rastrea IPs en busca de otros servidores
web que poder infectar. Asimismo, busca y modifica los archivos con
nombre DEFAULT, INDEX, MAIN o README y extensión HTM, HTML o ASP
para incluir código JavaScript. De esta forma incluye el código que
explota la vulnerabilidad del Internet Explorer, comentada al
principio, con lo que provoca la infección de clientes que visiten
sus páginas web.
Microsoft facilitó una actualización de seguridad para esta
vulnerabilidad en octubre de 2000, disponible en la dirección:
http://www.microsoft.com/technet/security/bulletin/ms00-078.asp
Las actualizaciones, según versión del Internet Information Server:
Microsoft IIS 4.0:
http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp
Microsoft IIS 5.0:
http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp
Sin embargo, de nuevo no recomendamos utilizar estas actualizaciones
que se están difundiendo en la mayoría de los avisos, en su lugar
debería instalarse la última actualización acumulativa del 17 de
agosto de 2001:
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp
Según versión:
IIS 4.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32061
IIS 5.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32011
Es muy importante guardar el orden al parchear (Service Packs,
acumulativos y específicos), evitando instalar actualizaciones
posteriores que pueden generar la reaparición de vulnerabilidades
ya corregidas con anterioridad.
En la próxima entrega nos centraremos en el análisis del virus y
procedimientos para su eliminación.
Más información:
Virus I-Worm.Nimda – Un poco de todo
http://www.avp-es.com/virus/nimda.html
«Nimda» Worm A High Risk Threat
http://www3.ca.com/Press/PressRelease.asp?id=1762
Nimda
http://www.f-secure.com/v-descs/nimda.shtml
W32/Nimda@MM
http://vil.nai.com/vil/virusSummary.asp?virus_k=99209
Nimda
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=Nimda
W32.Nimda.A@mm
http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html
Nimda worm hits net
http://www.securityfocus.com/templates/article.html?id=253
W32/Nimda
http://www.sophos.com/virusinfo/analyses/w32nimdaa.html
TROJ_NIMDA.A
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_NIMDA.A
bernardo@hispasec.com
Deja una respuesta