Presskontakt Måndagen den 3 maj 2004 - De senaste veckorna har ett antal kritiska sårbarheter publicerats, och i vissa fall har maskar och andra automatiska verktyg används för att utnyttja dessa sårbarheter. Kod som kan användas för att utnyttja sårbarheten, s.k. exploit-kod finns tillgänglig för flera av dessa sårbarheter. W32.Sasser.B.Worm, som försöker utnyttja LSASS-sårbarheten, har spridits till datorer världen över. W32.Sasser.B.Worm, som klassificeras som hotkategori 4 (på en 5-gradig skala) sprids genom att söka igenom slumpmässigt valda IP-adresser för att hitta sårbara system. Masken gör i sig ingen skada, men infekterade datorer går mycket långsamt, och eftersom den sprids kraftigt påverkas nätverkstrafiken. - De senaste veckorna har Symantec Security Response övervakat ett skifte i sättet hoten sprids. De första månaderna på året spreds de flesta hot vi övervakade via e-post. Nu ser vi fler och fler hot som utnyttjar sårbarheter för att spridas, säger Per Hellqvist, säkerhetsexpert på Symantec. - En oroande utveckling är att tiden mellan det att en sårbarhet upptäcks till dess att den utnyttjas blir allt kortare. Vi måste idag vara mer proaktiva än reaktiva vad gäller säkerhet. Man måste ha flera lager av säkerhet – ett uppdaterat virusskydd är mycket viktigt, men inte längre tillräckligt. Både hemanvändare och företag måste använda en brandvägg och intrångsskydd för att skydda sig mot de blandade hot som sprids. Mer information om W32.Sasser.B.Worm: http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.b.worm.html Länk till kostnadsfritt borttagningsverktyg: http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.removal.tool.html Mer information om sårbarheten Microsoft Windows LSASS Buffer Overrun: http://securityresponse.symantec.com/avcenter/security/Content/10108.html Nedan finns en kort uppdatering om den sårbarhet som masken Sasser använder. Microsoft Windows LSASS Buffer Overrun Vulnerability/W32.Sasser.B.Worm Background The Microsoft Windows LSASS Buffer Overrun Vulnerability was originally announced on April 13, 2004 in Microsoft Security Bulletin MS04-011. A buffer overflow vulnerability exists in the LSASS service that could allow remote code execution on an affected system. LSASS provides an interface for managing local security, domain authentication, and Active Directory processes. If the system was compromised, an attacker could gain complete control of the machine and perform actions on the affected machine similar to a user or administrator, such as erase files, steal information, etc. Exploitation may occur over TCP ports 135, 139, 445, 593 and ports greater than 1024, as well as UDP ports 135, 137, 138 and 445. More information about the LSASS vulnerability can be found at http://securityresponse.symantec.com/avcenter/security/Content/10108.html Symantec recommends users to update their virus definitions to protect against W32.Sasser.Worm and its variant. Symantec Security Response has developed removal tools to clean infections of W32.Sasser.Worm and W32.Sasser.B.Worm. Additionally Symantec recommends blocking TCP ports 5554, 9996 and 445 at the perimeter firewall and install the appropriate Microsoft patch (MS04-011) to prevent remote exploitation of the vulnerability. Recent Updates On May 1, 2003, Symantec Security Response identified a variant of the Sasser worm as a Level 3 threat -- W32.Sasser.B.Worm. On May 2, W32.Sasser.B.Worm was upgraded to a Level 4 threat due to the increased submission rate. Symantec Security Response has tracked 2,234 worldwide submissions, including 23 corporate submissions. Unlike the original Sasser worm, W32.Sasser.Worm is predominately infecting consumer systems.The worm also attempts to exploit the LSASS vulnerability and spreads by scanning randomly chosen IP addresses for vulnerable systems. Additional information on W32.Sasser.B.Worm can be found at http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.b.worm.html. On April 30, 2003, Symantec Security Response identified W32.Sasser.Worm as a Level 3 threat. W32.Sasser.Worm attempts to exploit the MS04-011 vulnerability and spreads by scanning randomly-chosen IP addresses for vulnerable systems. Symantec Security Response tracked 301 worldwide submissions, including 113 corporate submissions. For additional information on W32.Sasser.Worm, visit http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html. Symantec has also identified malicious code based on a Gaobot variant that has been modified to propagate through the Microsoft Windows LSASS vulnerability. Gaobot is a type of Trojan that uses IRC. While not as epidemic as a worm, Gaobot still presents an immediate threat due to it's ability to compromise a wide range of computers. W32.Gaobot.AFW is a Level 1 threat that spreads through open network shares and several Windows vulnerabilities including LSASS. W32.Gaobot.AFW can also spread through backdoors installed by Beagle and Mydoom wor, ms, and the Optix family of backdoors. W32.Gaobot.AFJ is another variant that leverages the Microsoft Windows LSASS vulnerability. Om Symantec Symantec är världsledande inom informationssäkerhet och erbjuder ett brett spektrum av mjuk- och hårdvarulösningar samt tjänster för att hjälpa privatpersoner, små och stora företag att säkra och hantera sin IT-infrastruktur. Symantecs varumärke Norton är världsledande inom säkerhets- och problemlösningsprodukter för konsumentsektorn världen över. Företaget har sitt huvudkontor i Cupertino, Kalifornien och bedriver verksamhet i 35 länder. Mer information finns på http://www.symantec.se