RES: [GTER] Alerta: Pacotes udp desconhecido com volumes absurdos

Leandro R. bolinh0 at click21.com.br
Tue Jan 4 11:49:33 -02 2005


Na semana passada saiu uma falha no WINS
e seu respectivo pacote de correção, provavelmente devam 
estar utilizando esta falha.

Este é sobre uma falha do DHCP
http://www.microsoft.com/technet/security/Bulletin/MS04-042.mspx

Este é sobre a falha do WINS
http://www.microsoft.com/technet/security/Bulletin/MS04-045.mspx


Atc,
Leandro R.

-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
nome de Denny Roger
Enviada em: segunda-feira, 3 de janeiro de 2005 22:15
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] Alerta: Pacotes udp desconhecido com volumes absurdos

Prezados,

no dia 30 de dezembro de 2004 recebemos diversos chamados relacionados a 
ataques utilizando pacotes UDP.

Todas as máquinas que estavam (ou ainda estão) enviando pacotes UDP, estão 
com o sistema operacional Windows 2003 Server com DNS/WINS/AD. Tudo indica 
que a técnica está explorando o serviço de WINS.

Através de uma análise de log, foi possível identificar que os sistemas de 
firewalls receberam 99,95% de pacotes UDP, comparado aos demais pacotes.

O fato tem gerado muita lentidão no ambiente computacional. No dia 31 de 
dezembro, durante um monitoramento, identificamos a utilização de 100% de um

link de 1Mbits, originado por pacotes UDP. Vale lembrar que poucas pessoas 
estavam trabalhando neste dia.

Caso seja confirmada a exploração do serviço de WINS e seja identificada 
ferramenta utilizada estarei disponibilizando para lista.

Abraços,

Denny Roger
Batori Software & Security
www.batori.com.br
(11) 3105 1619




More information about the gter mailing list