Hvordan spredes MSBlast

via et sikkerhedshul i microsofts implementering af Remote Procedure Call protokollen

Hvis du gennemføre windows update fjernes dette hul. Er kun relevant for XP og 2000

Og hvad vil det sige?

den kommer ind igennem tcp port 135 hvor den laver en rpc
remote procedure call som den får lov at afvikler og kan der ved kopiere
sig selv ind på computeren.
jeg har dog også hørt at den er begyndt at komme med mail men om det er
rigtigt ved jeg ikke

RPC er en protokol der bl.a. bruges til kommunikation mellem exchange server og også til anden kommunikation på netvære. Denne protokol havde en svaghed der kunne undyttes til at få kontrol over maskinen på en sådan måde at vira kunne placeres på maskinen og derefter spredes videre til andre maskiner med samme hul. Jeg skriver i datid da jeg altid sørger for at holde mine maskiner fuldt updatet og dermed har jeg ikke hullet

Men den kommer vel ikke af sig selv ind, første gang? (Altså port 135)

Jo den gør, hvis din maskine er tænt op på nettet (og hullet er der) ligesom rotter, de kommer også selv

En anden lille detalje hvis du sidder bag en router som har lukket
for alle porte undtagen 80 (http) og 21 (ftp) en typisk opsætning er man
også sikrede mod MSBlast men det er slevfølgelig altid en fordel at
havde sit system opdateret som bufferzone siger

det der sker er at den genere ip adresse og spøger på disse ip adresse
om der er adgang via port 135 hvis der er laver den så sit rpc

Ok, har både Router med firewall og opdateret, så jeg kan sove roligt :)

Tak

Bl.a derfor har stofa midlertidig lukket port 135. Man må så håbe, at alle i risikogruppen for lukket af for blaster.

Du kan sove roligt hvis din windows er fuldt opdateret, så kommer den ikke ind selv om du ikke har en firewall

Lige lidt til terminologien.

RPC er ikke en protokol. RPC er et generelt begreb for at lave et
funktions/metode kald det bliver udført på en anden maskine.

Der er mange RPC implementationer.

En af dem er OSF's DCE RPC. Det er en protokol som bruger port 135.

DCOM bruger DCE RPC (med nogle Microsoft udvidelser). Og derfor
kaldes det i Windows verdenen ofte for DCOM RPC.

DCE RPC (eller DCOM RPC) kan bruges til hvad som helst. Man kan selv
skrive programmer der bruger dem. Jeg er ikke klar over hvilke Microsoft
komponeter der bruger det, men DCOM er en af hjørne-stenene i Microsoft
teknologi, så det er sikkert mange.

Selve fejlen er en ganske banal buffer overflow fejl i DCOM
implementationen (ganske ligesom de hundredevise af andre
buffer overflow fejl der er set på så godt som alle platforme
hvor C kode er brugt til netværk - og det er stort set alle).

tester om en besked kommer mange gange, hvis man trykker flere gange på udfør