среда

Hackers Renovar Windows' MS06 - 040 'Ataques

Essa vulnerabilidade anterior vieram a lume 8 de Agosto de meio Microsoft's libertação de uma dúzia de boletins de segurança. Estas incluíam MS06 - 040, que corrigida uma vulnerabilidade crítica no Windows' Server serviço. Na época, a segurança analistas avisaram que a falha poderia ser explorada por uma rede - atacando verme, ala MSBlast. Embora várias façanhas apareceu, o seu impacto foi menor.

Na quinta - feira, tanto Symantec e da SANS Institute's Internet Storm Center alertou os usuários que tinham detectado um aumento significativo no mundo em actividade na porta 139, uma das duas portas que um exploit contra o MS06 - 040 vulnerabilidade poderia usar para atacar sistemas.

O Internet Storm Center (ISC) viu um grande pico na porta 139 atividade inicial domingo, agosto 27, enquanto Symantec's sensores rede grandes aumentos registados em ambos os terça - feira, Agosto 29 e quarta - feira, Agosto 30. Segundo a Symantec, os sistemas atacando porta 139 também foram envolvidos em ataques na porta 445, a outra via provável atacantes explorando o serviço Server iria usar.

"Não podia ser várias possibilidades para isso", disse Lorna Hutcheson, um analista do ISC, em uma linha nota. Mas ela já descontados bots que tinha divulgado logo após MS06 - 040 foi liberada. "Ambos foram reconhecidos em 14 de Agosto, para que elas tenham sido em torno de um whileand esta ascensão só começou nos últimos dois dias", escreveu Hutcheson. Geralmente, um salto em atividade contra um ou mais de Windows' portos significa que atacantes estão digitalizando a Internet para os sistemas vulneráveis.

Symantec's análise foi mais específico na pegging possíveis causas para a uptick na porta 139 atividade.

"Uma nova variante do Spybot nomeado W32.Spybot.AKNO foi descoberto propagação no estado selvagem", disse Symantec em um alerta emitido quinta antecipada para os usuários do seu DeepSight ameaça gestão serviço. O robô -- projetado para infiltrar um sistema, então faça o download de códigos maliciosos adicionais para falsificar o computador e pode ser utilizado como um zumbi spams ou para outras actividades criminosas -- também contém um componente rootkit, Symantec acrescentou. Um código rootkit é que cloaks um verme ou robô para torná - la mais difícil para o software antivírus para detectar e eliminar tanto os softwares maliciosos.

"Isso Spybot escolhi este um MS06 - 040 explorar não é surpreendente," disse David Cole, o diretor de segurança da Symantec resposta equipe. "Spybot é um dos mais prevalente robôs que estão por aí. O que é interessante é que ele também jogou no rootkit capacidades".

Symantec também disse que tinha recebido relatórios de um verme no estado selvagem que estava usando o MS06 - 040 vulnerabilidade para atacar PCs rodando Windows NT 4,0. Um primeiro relatório postadas no Full Disclosure segurança lista foi "muito vago", disse Symantec, que tem sido incapaz de atingir o investigador que relatou o verme, e por isso não tem de analisar amostras de código. Outros investigadores escrito ao Full - Disclosure notar - se que o código malicioso também com sucesso ataques Windows 2000 sistemas.

O novo ataque contra o Spybot e Windows NT máquinas parecem estar separados, Symantec disse. Tem destacada mel pote sistemas na esperança de recolher uma amostra do novo NT verme.

Windows NT utilizadores são particularmente vulneráveis a ataques, acrescentou Cole, uma vez que o sistema operacional com idade foi retirado da lista de apoio da Microsoft, o Redmond, Wash. desenvolvedor parado emissão correções de segurança para NT no último dia de 2004.

"Não tem sido uma série de atividades que valorizam o MS06 - 040 vulnerabilidade", disse Cole. "Randex, Stration, uma série de ameaças. Quando uma exploração é liberado, todos scrambles para incluí - lo."

Pelo registro da Symantec, seis robôs são conhecidos alavancar o MS06 - 040 explorar. Isso foi o suficiente para que o Cupertino, Califórnia empresa de segurança para empurrar seus ThreatCon segurança estatuto classificação de "1" para "2" na quinta - feira.

"É uma coisa cumulativo", disse Cole, reconhecendo que nenhum explorar causados à empresa até o seu nível alerta. "O aumento da infecção ângulos e da actividade na porta 139 e 445 mostra que é um problema em toda a linha".

Tanto a Symantec e ISC instou aos usuários do patch seus sistemas com a correção emitidos com MS06 - 040. Se não for possível sanar -- ou é simplesmente não estão disponíveis, como é o caso do Windows NT usuários -- usuários devem filtrar ou bloquear as portas TCP 139 e 445, a par aconselhado.

Vendendo i sottaceti in linea? Realmente, � un commercio grande