En PC & Nätverksteknikers tankar

Det är hög tid att installera uppgraderingen MS08-067, som släpptes för en månad sedan. Flera maskvarianter, exempelvis W32/Conficker.worm, utnyttjar hålet aktivt. Det är ännu endast Windows 2000 som är drabbat.

Då masken har infekterat ett system laddar den ner ytterligare elak kod. För att sprida sig installeras en webbserver som lyssnar på slumpmässiga portar. Därefter scannar masken efter sårbara system som kan ladda ner en kopia av masken från det infekterade systemets webbserver.

Jag rekommenderar följande skydd:

1. Installera uppdateringen MS08-067 som finns tillgänglig på Windows Update.
2. Blocka TCP-portarna 139 och 445 i brandväggen.

En säkerhetsbrist har upptäckts i MS Windows Server service. Bristen beror på att server-tjänsten felar i hanteringen av specialformaterade RPC-förfrågningar. En angripare kan manipulera ett RPC-paket som skickas till det sårbara systemet. Om attacken lyckas kan angriparen få total kontroll över systemet.

För att utnyttja sårbarheten i Windows Vista samt Windows Server 2008 krävs att angriparen har ett lokalt konto på systemet.

Microsoft har kategoriserat sårbarheten som "kritisk".

Påverkade versioner:

• Microsoft Windows 2000 SP4
• Microsoft Windows XP SP1/SP2/SP3
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows XP Professional x64 Edition SP1/SP2
• Microsoft Windows Server 2003 SP1/SP2
• Microsoft Windows Server 2003 x64 Edition
• Microsoft Windows Server 2003 x64 Edition SP2
• Microsoft Windows Server 2003 SP1/SP2 (Itanium)
• Microsoft Windows Vista
• Microsoft Windows Vista SP1
• Microsoft Windows Vista x64 Edition
• Microsoft Windows Vista x64 Edition SP1
• Microsoft Windows Server 2008 (32-bit/x64/Itanium)

Ett säkerhetsföretag som heter SkyRecon Systems har upptäckt två nya säkerhetsbrister i kärnan på flera versioner av operativsystemet Windows, inklusive server versioner. Sårbarheterna finns inte bara på x86-baserade 32- och 64-bitarsversioner utan också på 64-bitars Itanium-maskiner.

Som vanligt vid den här typen av brister är det ett resultat av ett fel i Windows-designen och inte ett resultat av felaktig hårdvara. SkyRecon arbetar med Microsoft för att släppa uppdateringar för sårbarheterna senare under den här månaden.

Påverkade operativsystem inkluderar alla versioner av Windows XP Professional, Windows 2000 Server, Windows 2003 Server och Windows Vista. De här sårbarheterna lämnar systemet öppet för en typ av attack som låter invaderade kod (ett virus eller en mask) få tillgång till kärnan.

Resultatet är i stort sett att ingenting inom kärnan av operativsystemet är säkert och allt går att komma åt, när en sådan sårbarhet utnyttjas.

Källa: THG

Programmet NSlookup.exe för Microsoft Windows innehåller en säkerhetsbrist, som kan tillåta exekvering av skadlig kod på ett sårbart system. Inga detaljer om sårbarheten har publicerats än, men ett "Proof of Concept" har publicerats av Ivan Sanchez. Det finns rapporter på att säkerhetshålet redan utnyttjas men ännu finns det ingen programmrättning hos Microsoft.

Påverkade versioner:
* Windows XP Professional SP2 är sårbar
* Följande Windows versioner kan vara sårbara:
* Microsoft Windows 2000 Professional SP3
* Microsoft Windows 2000 Professional SP2
* Microsoft Windows 2000 Professional SP1
* Microsoft Windows 2000 Professional
* Microsoft Windows 98
* Microsoft Windows 98SE
* Microsoft Windows ME
* Microsoft Windows NT Workstation 4.0 SP6a
* Microsoft Windows NT Workstation 4.0 SP6
* Microsoft Windows NT Workstation 4.0 SP5
* Microsoft Windows NT Workstation 4.0 SP4
* Microsoft Windows NT Workstation 4.0 SP3
* Microsoft Windows NT Workstation 4.0 SP2
* Microsoft Windows NT Workstation 4.0 SP1
* Microsoft Windows NT Workstation 4.0
* Microsoft Windows XP Home SP1
* Microsoft Windows XP Home
* Microsoft Windows XP Professional SP1
* Microsoft Windows XP Professional

Upphovsmannen till en trojen Nugache som bröt ny mark i botnet kretsar har beslutat att förklara sig skyldiga till i hemlighet infekterar tusentals datorer så att han kunde stjäla deras personuppgifter och inleda attacker mot webbplatser.

Jason Michael Milmont, 19, Cheyenne, Wyoming, medgav att skapa den så kallade Nugache Worm, en trojansk som sprids via AOL Instant Messenger och modifierade Limewire installationsprogram. Trojanen som Milmont skapade, används för att stjäla användarnamn, lösenord och bankkontonummer från dem blivit är smittade.

Nugache hade cirkulerat redan i början av 2006 och skapade en av de första botnets för att använda ett decentraliserat system för att skicka instruktioner till radiostyrda farkoster, enligt säkerhet forskaren Dave Dittrich.

Med tiden har Milmont lagt till nya funktioner Nugache. Ett grafiskt användargränssnitt gjort det enkelt att komma åt infekterade maskiner från sitt hem server. Det lät honom skicka ett kommando till en enda maskin, som sedan överförde kommandot till andra maskiner. Programmet innehöll en Keylogger och kan också kan sniffa känslig information som lagras i Internet Explorer för att skona användare besväret att behöva komma ihåg lösenord för online banker och andra känsliga webbplatser.

Programvaran var osynliga för Windows Task Manager i Windows NT, XP och 2000. Vid varje givet tillfälle Milmont hade någonstans 5000 - 15000 maskiner under hans kontroll.

Enligt en grund som undertecknades av Milmont, han använde hans botnet att lansera distribuerade DoS-angrepp mot en namnlös online företag beläget i Los Angeles. Avtalet fortsatte med att dokumentera hur han använde personlig information han lyfts från hans offer att göda hans plånbok.

Efter att skicka ett kommando som instrueras infekterade maskiner att skicka fångas upp lösenord och annan information, han skulle sortera objekt online och få kontroll över offrens konton genom att ändra adresser och andra detaljer som var förknippade med dem. I april 2007, till exempel, han använde stulna kreditkort information för att göra en $ 1,422 köp från Hinsite Global Technologies och hade ex transporterades till en ledig bostad i den Cheyenne område.

För att hindra offren från att upptäcka sin ordning, Milmont ersättas telefonnummer förknippade med försämrad konton med Skype-nummer som han skapade och köpt med kreditkort uppgifter han hade skördats från hans botnet.

Milmont får max fem år i federalt fängelse och böter på $ 250000. Han är också med på att betala nästan $ 74000 i återlämnande. Milmont har gått med på att visas i federal domstol i Cheyenne, där han kommer att förklara sig skyldiga till en grov förbrytelse avgift. Fallet togs i Los Angeles och undersöktes av FBI.

En sårbarhet har hittats i Windows Active Directory, ett utnyttjande av bristen kan leda till en DoS-attack. Sårbarheten orsakas av bristande kontroll av manipulerade LDAP-förfrågningar. En angripare kan utnyttja sårbarheten genom att specialformatera sådana förfrågningar och skicka dem till det sårbara systemet.

Microsoft klassar sårbarheten som: "Important"

Påverkade versioner:
* Microsoft Windows 2000 Server Service Pack 4
* Microsoft Windows XP Professional Service Pack 2
* Microsoft Windows XP Professional Service Pack 3
* Microsoft Windows XP Professional x64 Edition
* Microsoft Windows XP Professional x64 Edition Service Pack 2
* Microsoft Windows Server 2003 Service Pack 1
* Microsoft Windows Server 2003 Service Pack 2
* Microsoft Windows Server 2003 x64 Edition
* Microsoft Windows Server 2003 x64 Edition Service Pack 2
* Microsoft Windows Server 2003 SP1 (Itanium)
* Microsoft Windows Server 2003 SP2 (Itanium)
* Microsoft Windows Server 2008 for (32-bit)
* Microsoft Windows Server 2008 for (x64)

Mer information och programrättningar finns på Microsoft Technet

Botnet fighters har ett annat verktyg i sin arsenal, tack vare Microsoft.

Programleverantören har gett de brottsbekämpande myndigheterna tillgång till ett speciellt verktyg som håller koll på botnets, med hjälp av uppgifter från de 450 miljoner datoranvändare som har installerat Malicious Software Removal Tool som levereras med Windows.

Även om Microsoft är ovilliga att ge ut information på sin botnet Buster eftersom att företaget har sagt att ens avslöja sitt namn kan ge cyberbrottslingar en aning om hur man kan motverka den.
Verktyget innehåller data och programvaror som hjälper de brottsbekämpande myndigheterna få en bättre bild av de uppgifter som lämnats av Microsofts användare, säger Tim Cranton, associate chefsjurist med Microsoft's World Wide Internet Safety Program. "Jag tror på det ... och på botnet intelligens", sade han.

Microsoft säkerhetexperter analyserar prover av skadlig kod att fånga en ögonblicksbild av vad som händer på botnet-nätverket, som sedan kan användas av de brottsbekämpande myndigheterna.

Botnets är nätverk av hacka datorer som kan användas, nästan som en superdator, att skicka spam eller attackera servrar på Internet. De har varit på Microsofts radar för ungefär fyra år, ända sedan företaget identifierat dem som ett betydande framväxande hot. Faktum är att programleverantören har hållat sju privata botnet konferenser för brottsbekämpande myndigheter genom åren, däribland en inledande händelse i Lyon, Frankrike, tillhandahållen av Interpol, meddelar Cranton.

Microsoft hade inte tidigare talat om sitt botnet verktyg, men det visar sig att polisen i Kanada använt det att göra en hög profil byst tidigare i år.

I februari, Sûreté du Québec används Microsofts botnet-Buster att bryta upp ett nätverk som hade smittats nästan 500 000 datorer i 110 länder, enligt Captain Frederick Gaudreau, som leder den provinsiella polisstyrkans databrottslighet.

Fallet visar hur användbar Microsofts programvara och data kan vara.

Efter övervakning av hacker-chattrum och intervjuer av källor, hade Quebec polisen flera misstänkta i deras fall. Men vad de inte hade var en tydlig koppling, som visar de som faktiskt kontrollerade dessa botnets. Eftersom botnets vanligtvis får sina instruktioner från andra hackade datorer, kan det vara svårt att dra slutsatser i ett fall som detta. "Vi visste att dessa människor var verkligen aktiva och vad vi behövde för att verkligen ta ut dem var att göra djupare undersökningar, och att veta hur de använder sina botnets", sade han.

Sûreté du Québec officerare hade hört talas om Microsofts verktyg i vid ett 2006 Microsoft brottsbekämpande konferens. Några månader senare beslutade de att ge det ett försök.

Efter en analys av Microsofts programvara får utredarna identifierat vilken IP-adress som har används till att driva botnet, gruppen sagt, och det spräckte fallet.

Att bygga upp den här typen av fall innebär att man måste hålla sig ajour med nätverkstrafik och sabotageprogram under en lång period, sade Paul Ferguson, på Trend Micro, som arbetar med brottsbekämpning i liknande fall.

Detta är ett område där företagen verkligen kan hjälpa till med brottsutredningar, tillade han. "Vi måste se mycket mera samarbete mellan brottsbekämpande och privata näringslivet," säger Ferguson. "Rättsväsendet är illa rustade för den globala skalan och volymen på av dessa hot."

Källa: Computerworld

I tisdags släppte Microsoft sina månatliga säkerhetsuppdateringar. Novemberbulletinen innehöll en uppdatering. Av Microsoft har den klassificerats som kritisk, och att en lyckad attack kan i värsta fall ge angriparen total kontroll över systemet.

Nu rapporteras om en trojan som utnyttjar sårbarheten. Angreppet gör inte att kontrollen av systemet helt hamnar i den obehöriges händer, men väl sätts i ett överbelastningsläge genom att hänga explorer.exe

Trojanen kallas Troj_Emfsploit.A och har identifierats av antivirusföretaget Trend Micro. Sårbarheten drabbar Windows 2000, Windows XP samt Windows 2003 Server. Den kan utnyttjas av program som visar grafikfiler av formaten EMF och WMF. Filerna kan öppnas med exempelvis Officeprogram, Outlook Express och Internet Explorer.

Den här gången verkar det som sagt röra sig om en trojan som ställer till med relativt ringa skada, men när någon eller några efter bara två dagar har skapat en trojan är risken överhängande att fler, kanske farligare, kommer. Enligt rapporter finns det dessutom offentligt ute skadlig kod som utnyttjar sårbarheten.

Enklaste sättet att skydda sig är att besöka Windows Update samt att aktivera automatiska uppdateringar i Windows.