Bulletin d'alerte K-OTik Security : Attaques IIS/Internet Explorer/Scob



 Risque Moyen (2/4)

: Ces attaques étant relativement "ciblées et bien localisées", nous avons qualifié le risque de "Moyen" (niveau 2/4). Cependant, les vulnérabilités d'Internet Explorer, exploitées dans cet incident, sont jugées : Critiques.
--------------------------------------------------------------------------------------------------------------

Contrairement à ce qu'affirment certains sites/médias plus ou moins spécialisés, il n'y a AUCUNE propagation d'un virus/ver ciblant les serveurs Microsoft IIS, et aucune propagation d'un virus ciblant les internautes (Scob et Berbew ne sont PAS des virus/ver. Scob est un code javascript chargé d'installer le Trojan berbew).

Un groupe de pirates inconnu est parvenu à pénétrer les sites web de nombreuses sociétés. Ils les ont infectés afin que tous les visiteurs de ces sites reçoivent à leur tour un logiciel espion s'il utilisent Internet Explorer (plus exactement un exe, deux dll, un vbs et différents fichiers de log, ressources etc).

 

Update (1) : Le nombre de serveurs web IIS 5.0 compromis est relativement réduit, ces serveurs sont actuellement utilisés pour infecter les internautes (exploitation de deux vulnérabilités critiques et non patchées d'IE, et installation du trojan Berbew, dont le but est de capturer les identifiants Ebay, Paypal, Earthlink, Juno et Yahoo). Le code javascript malicieux, chargé de l'installation distante du trojan "Berbew", est identifié par les antivirus sous le nom "JS.Scob.Trojan".

Update (2) : Microsoft a publié un correctif fixant cette vulnérabilité critique d'internet Explorer MS04-024 (le 30 Juillet 2004)

D'après les investigations menées par la Cellule Incidents K-OTik Security en collaboration avec le SANS Institute, deux théories sont possibles :

a) D'anciens patchs de sécurité n'ont pas été correctement appliqués par les administrateurs.
b) Les serveurs ont été compromis antérieurement (en Avril 2004) avec l'exploit PCT-SSL (avant l'application du patch MS04-011).

Prévention/Protection :

Pour les Administrateurs :
1) Utiliser MBSA afin de vérifier la présence des différents correctifs Microsoft.
2) Appliquer cette signature Snort :
-------------------------------------------------------------------------------------------------------------
alert tcp any any -> any any (msg:"BLEEDING-EDGE Unknown IIS Worm Code in Transit"; content:"217.107.218.147"; classtype:trojan-activity; sid:2000311; rev:2;)
alert tcp any any -> any any (msg:"BLEEDING-EDGE Unknown IIS Worm Code in Transit"; content:"function gc099"; classtype:trojan-activity; sid:2000312; rev:2;)
alert tcp any any -> any 80 (msg:"BLEEDING-EDGE Unknown IIS Worm Client Visiting Infected Page"; uricontent:"/dot.php"; classtype:trojan-activity; sid:2000313; rev:2;)
alert tcp any any -> any any (msg:"BLEEDING-EDGE Possible Unknown IIS Exploit In Transit"; content:"mms\://"; nocase; content:"ADODB.Stream"; nocase;classtype: trojan-activity; sid:2000314; rev:1;)
alert tcp any any -> any any (msg:"BLEEDING-EDGE Possible Unknown IIS Exploit In Transit"; content:"%6D"; nocase; content:"%53%74%72%65%61%6D"; nocase; content:"%41%44%4F%44%42%2E"; nocase; classtype: trojan-activity; sid:2000315; rev:1;)

-------------------------------------------------------------------------------------------------------------

Pour les utilisateurs :
1) Mettre à jour votre antivirus (défense anti "JS.Scob.Trojan" et "Berbew").
2) Appliquer le correctif KB870669
3) Désactivez Javascript
4) Utiliser un navigateur autre que Microsoft Internet Explorer


Liens :
Alerte K-OTik - https://k-otik.com/news/06252004.IIS0day.php
Bulletin IE Unpatched - http://www.k-otik.net/bugtraq/06112004.IE.php
Microsoft - http://www.microsoft.com/security/incident/download_ject.mspx
MS KB 871277 - http://support.microsoft.com/?kbid=871277
Analyse Berbew - http://www.lurhq.com/berbew.html
F-Secure -
http://www.f-secure.com/v-descs/scob.shtml
Symantec - http://www.symantec.com/avcenter/venc/data/js.scob.trojan.html

 
Changelog :
25 Juin 2004 (14h20) : Version Initiale
25 Juin 2004 (15h32) : Prévention/Protection
25 Juin 2004 (17h29) : Investigations K-OTik & SANS
25 Juin 2004 (20h38) : Identification du Trojan
"Berbew"
26 Juin 2004 (12h35) : Base de connaissances Microsoft - 871277
02 Juillet 2004 (23h35) : Pseudo-Correctif Microsoft

 F-VNS Security Audits de Sécurité & Tests Intrusifs Mailing Listes Advisories  Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

actualité informatique  Exploits