Em 2002, o enfoque na segurança de sistemas continuou a aumentar à medida que novas vulnerabilidades foram descobertas em todas as gamas de produtos de software, desde sistemas operativos a bases de dados e aplicações baseadas na Web. O número completo de vulnerabilidades descobertas até aqui é demasiado grande para se resumir num único documento. Em vez disso, este documento mostra quais os protocolos que o Symantec Security Response acredita terem sido os mais expostos em 2002.
O Symantec Security Response tem vindo também a verificar o surgimento de uma nova tendência. Através de compromissos bem sucedidos, os piratas informáticos têm vindo a conseguir que um grande número de sistemas actue concertadamente para atacar alvos específicos. À medida que aumenta a complexidade destas redes de Distributed Denial of Service (DDoS), a exposição de outras infra-estruturas a um ataque temporariamente enfraquecedor aumenta também. Como os riscos para os utilizadores da Internet aumentam, é imperativo que toda a gente que lide com computadores, desde programadores a utilizadores finais, esteja ciente dos patches de sistema e das práticas básicas de segurança.
Top Vulnerabilidades
Vulnerabilidades SSL Library
Em 2002, foram descobertas quatro vulnerabilidades nas OpenSSL Libraries. O resultado da exploração bem sucedida destas vulnerabilidades vai desde ataques DoS à execução remota de códigos arbitrários. Em Setembro de 2002, um worm explorou com sucesso uma destas vulnerabilidades, o OpenSSLv2 Malformed Client Key Remote Buffer Overflow Vulnerability, e atingiu um considerável grau de sucesso ao propagar-se a servidores Apache http vulneráveis e sem patches. O worm, conhecido como Modap ou Slapper, compromete um sistema e deposita uma escuta controlada pelo hacker. Esta escuta pode ser usada para pôr em risco outros sistemas, participar num ataque DDoS ou executar comandos arbitrários adicionais.
Vulnerabilidades na codificação de blocos de dados (Chunked Encoding)
As vulnerabilidades nas implementações de codificação de blocos de dados nos dois maior servidores Web foram descobertas em 2002. O Apache Web Server, actualmente aplicado pela maioria dos hosts na Internet, contém uma vulnerabilidade nos seus processos de implementação de codificação de blocos de dados, a partir de um cliente. O Microsoft IIS Web Server continha três vulnerabilidades distintas neste processo. O resultado da exploração com sucesso de uma destas vulnerabilidades significa a execução arbitrária de códigos, fornecidos pelo hacker, que serão executados sob o contexto de segurança do servidor Web.
Em 28 de Junho de 2002, foi descoberto um worm bastante sofisticado chamado Scalper, que explorava a Apache Chunked Encoding Memory Corruption Vulnerability em sistemas FreeBSD/Apache. Uma vez infectado o sistema vulnerável, o Scalper instala um agente controlado pelo hacker antes de passar a infectar outros sistemas. Este agente permite ao hacker recuperar aos endereços de email do sistema, executar comando arbitrários e usar o sistema infectado como parte de uma rede de DDoS. Este worm tornou-se um modelo para outras variantes na exploração de vulnerabilidades.
Vulnerabilidades SQL Server
Em 2002 foi publicada uma série de vulnerabilidades em Microsoft SQL Server, que abriam portas à execução arbitrária de códigos, bem como DoS. Dependendo do design da rede e das aplicações Web subjacentes que utilizam o SQL Server, estas vulnerabilidades podem permitir a um hacker remoto ganhar acesso ao servidor, mesmo com a presença de uma firewall que bloqueie os acessos às portas TCP e UDP, utilizadas pelo SQL Server para comunicar.
Além das múltiplas vulnerabilidades referidas, existe uma grave falha de segurança na instalação por defeito do SQL Server da Microsoft. Muitas instalações por defeito do SQL Server contêm uma password em branco para o administrador de sistema. Isto permite que qualquer pessoa que se ligue a uma instalação por defeito de um SQL Server com uma password em branco tenha acesso a um controlo completo da base de dados. Esta vulnerabilidade tem sido largamente explorada manualmente no passado.
Em 20 de Maio de 2002 foi descoberto em propagação um worm chamado SQLSpida. A sua propagação depende da exploração dos sistemas SQL Server com a password dos administradores em branco. O SQLSpida tem a capacidade de roubar toda a estrutura de base de dados do sistema atacado. Este worm também rouba o ficheiro de password SAM no sistema operativo Windows e permite uma execução remota de comandos arbitrários, além de enviar esta informação para um conjunto de endereços de email controlados pelo criados deste worm.
A Figura 1 mostra o aumento no scanning das portas TCP 1433 como resultado do SQLSpida, durante o período de 8 a 29 de Maio de 2002. Este aumento é notório e atingiu o seu pico a 20 de Maio de 2002. Os sistemas que reportaram este scanning da porta TCP 1433 mantêm-se ainda perto destes valores.
Figura 1. Aumento do scanning da porta TCP 1433 resultante da acção do SQLSpida, documentado pelo Symantec DeepSight Threat Management System.
A Figura 2 ilustra a taxa de infecção de source IP resultantes do SQLSpida. Um crescente número de sistemas foram claramente infectados a partir do dia 20 de Maio. O número de sistema únicos infectados pelo SQLSpida cresceu bastante, atingindo um grande número de sistemas num período de tempo relativamente curto. Embora o worm SQLSpida não tivesse a possibilidade de participar num ataque DDoS, o grande número de hosts infectados teria representado um grande risco se esta capacidade tivesse sido incluída.
Figura 2. Taxa de infecção de source IP resultantes do SQLSpida, documentado pelo Symantec DeepSight Threat Management System.
Vulnerabilidades OpenSSH
No ano passado foram descobertas duas grandes vulnerabilidades nas implementações seguras de OpenSSH. A primeira vulnerabilidade ocorre em códigos usados depois de um login bem sucedido, sendo assim um método viável para um utilizador elevar os seus privilégios ao nível do administrador mas não permite ganhar acesso como um intruso remoto. A segunda vulnerabilidade está presente no código challenge-response de OpenSSH. O código challenge-response é um componente do sistema de autenticação e um hacker que forneça mais respostas do que as que o servidor pode lidar pode por em risco o host. Como isto ocorre antes da autenticação, qualquer hacker pode levar a cabo este ataque.
Vulnerabilidades SNMP
As implementações SNMP de muitos fabricantes continham duas grandes vulnerabilidades em 2002. As Multiple Vendor SNMP Trap Handling Vulnerabilities estão presentes no processo de descodificação e interpretação de mensagens de notificações SNMP. Do mesmo modo, o Multiple Vendor SNMP Request Handling Vulnerabilities está presente no processo de descodificação e interpretação de mensagens de pedidos SNMP. As consequências de ambas as vulnerabilidades vão desde DoS à execução de códigos arbitrários, dependendo das implementações individuais de cada fabricante de SNMP.
http://www.symantec.com
Dossiers-Empresas