Compte a rebours mortel de 1 minute sous XP

Clad · Août 11, 2003, 8:14

I love you, que c’était chiant ce truc… ben c’est depuis que j’ai plus jamais utilisé outlook en fait =^___^=

ça m’avait quand même couté un bon format c: et la reinstall kivabien

Tzim · Août 11, 2003, 8:24

[quote]Title: Buffer Overrun In RPC Interface Could Allow Code
Execution (823980)
Date: 16 July 2003
Software: Microsoft® Windows ® NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Impact: Run code of attacker’s choice
Max Risk: Critical
Bulletin: MS03-026
Microsoft encourages customers to review the Security Bulletins
at:
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
http://www.microsoft.com/security/security_bulletins/MS03-026.asp

Issue:

Remote Procedure Call (RPC) is a protocol used by the Windows
operating system. RPC provides an inter-process communication
mechanism that allows a program running on one computer to
seamlessly execute code on a remote system. The protocol itself
is derived from the OSF (Open Software Foundation) RPC protocol,
but with the addition of some Microsoft specific extensions.
There is a vulnerability in the part of RPC that deals with
message exchange over TCP/IP. The failure results because of
incorrect handling of malformed messages. This particular
vulnerability affects a Distributed Component Object Model (DCOM)
interface with RPC, which listens on TCP/IP port 135. This
interface handles DCOM object activation requests sent by client
machines (such as Universal Naming Convention (UNC) paths) to the
server.
To exploit this vulnerability, an attacker would need to send a
specially formed request to the remote computer on port 135.

Mitigating factors:

To exploit this vulnerability, the attacker would require the
ability to send a specially crafted request to port 135 on the
remote machine. For intranet environments, this port would
normally be accessible, but for Internet connected machines, the
port 135 would normally be blocked by a firewall. In the case
where this port is not blocked, or in an intranet configuration,
the attacker would not require any additional privileges.
Best practices recommend blocking all TCP/IP ports that are
not actually being used. For this reason, most machines attached
to the Internet should have port 135 blocked. RPC over TCP is not
intended to be used in hostile environments such as the internet.
More robust protocols such as RPC over HTTP are provided for
hostile environments.
Risk Rating:
============
Critical
Patch Availability:
===================
A patch is available to fix this vulnerability. Please read
the Security Bulletins at

http://www.microsoft.com/technet/security/bulletin/ms03-026.asp
http://www.microsoft.com/security/security_bulletins/ms03-026.asp

for information on obtaining this patch.[/quote]Mail recu (mailing-list MS) le 16 Juillet, c’est a dire presque un mois. Si vous, dont la majorité ont une connexion Haut Débit, n’avez pas téléchargé le patch, vous ne pouvez que vous en prendre a vous mêmes.
Ce message a été édité par Tzim le 11/08/2003

Neomatt · Août 11, 2003, 8:30

Ben au moins, ça créera un exemple aux gens.
Patchez bordel! (en même temps, shame on me, ça m’est arrivé aussi

system · Août 11, 2003, 8:35

hmm sa me fais penser à mon stage, j’ai pas laissé windows update en auto sur les becane vendue…à cause que c’est souvent de l’isdn derriere =)
ahahaha je sens qu’ils vont se faire spammer de mail demain matin 8)

Ce message a été édité par spook le 11/08/2003

Olryn · Août 11, 2003, 8:48

Houlà, je viens d’en sortir c’était affreux ce … bug ? Moi j’ai pas eut de mail, en tout cas.

Silka · Août 11, 2003, 8:55

moi ligne rtc
donc l’autoupdate pas trop pour moi

mais la c’'est passé à grande echelle, pourtant le defcon est fini.

Ca serait un bouquet final du defcon ?

tibo · Août 11, 2003, 9:00

[quote]moi ligne rtc
donc l’autoupdate pas trop pour moi

mais la c’'est passé à grande echelle, pourtant le defcon est fini.

Ca serait un bouquet final du defcon ?[/quote]ca le fait aussi avec un RTC a priori, tu as eu de la veine!

Chrisaprilsnow · Août 11, 2003, 9:05

Une copine avait le bug, à installé le patch et c’est bonheur. Merci la Cafzone (de m’aider a draguer).

Edit juste pour ajouter ça :

“Tu peux pas savoir comme je t’aime à ce moment précis, j’ai cru que j’aillais jamais réusir a garder mon ordi allumé plus de deux minutes.”

Ma copine. Non, merci la Cafzone, vraiment.
Ce message a été édité par Chrisaprilsnow le 11/08/2003

tibo · Août 11, 2003, 9:17

sur aol ca merde aussi?

GloP · Août 11, 2003, 9:34

Bah pourquoi ca changerait selon l’ISP?!? D’un cote ils sont deja assez dans la merde en etant client d’AOL les pauvres utilisateurs. Je propose que chaque auteur de virus/worm n’attaque pas un utilisateur si son domaine se finit en AOL.com, un peu de pitiee quoi!

Black_Fox · Août 11, 2003, 9:43

AOL à part pour les accès enfant / ado sont équivalent aux autres ISP (les accès précités empèchent les port non standards et filtrent le web)

In2Mix · Août 11, 2003, 9:57

Alors là je dis : MERCI !

Je viens de formater et puis de tout réinstaller et ce satané bug était encore là. Je me dis je vais poster pour demande de l’aide sur la Caf’ et puis je vois ce thread.

encore merci, j’était sur le point de m’arracher les cheveux.

Black_Fox · Août 11, 2003, 10:16

Au passage pour ceux qui ça intéressi vous pourez trouver ICI l’annalyse par symantec du msblast.exe
Bon https veut pas donc le lien : https://tms.symantec.com/members/AnalystRep…rt-DCOMworm.pdf

Pour résumer dès le 15 aout il essaieras de satturer de requettes windowsupdate.com (DOS) et il ouvre le port 4444, pour permettre un controle distant de la machine affectée
Ce message a été édité par Black-Fox le 12/08/2003

Charismatic_Warrior · Août 11, 2003, 10:16

Question bête: comment ça se chope ce bazar? Le mec charge sont programme sur la machine cible après avoir truandé le port 135 ?

si on me répond que c’est un attach de mail avec .exe au bout, c’est une baffe
Ce message a été édité par Charismatic_Warrior le 12/08/2003

Black_Fox · Août 11, 2003, 10:18

C’est une faille dans un service installé sur tout les PC donc il sufit d’être connecté au net et de ne pas avoir de chance…

Charismatic_Warrior · Août 11, 2003, 10:22

Et donc un bon firewall bien configuré et c’est la fin du problème… En plus le 135 je crois que c’est une connerie qui sert pour l’assistance à distance, non ?

JeeZz · Août 11, 2003, 10:39

C’est le début de la fin…le jugement dernier…le virus de Skynet qui étends lentement sa domination sur toutes les machines et tout ça…Z’avez pas vu Terminator 3? (si non Z’avez de la chance ceci dit! )

pijOniC · Août 11, 2003, 10:49

[quote]C’est une faille dans un service installé sur tout les PC donc il sufit d’être connecté au net et de ne pas avoir de chance…[/quote]Oui mais pourquoi tout ça d’un coup ? Ils ont décidé de faire un big assaut sur tous les utilisateurs du net?

/me pige pas trop

Edit: A ok c’est un worm … je vois plus clair.
Ce message a été édité par pijOniC le 12/08/2003

Silka · Août 12, 2003, 7:42

En conclusion on remercie la Cafzone et ces participants.

Tjs aussi actif et reactif.

Mais bon l’attaque à été mondial.
Un pote à la Reunion à été touché aussi.

killavinz · Août 12, 2003, 8:10

Je me disais aussi : environ une update (Windows) par jour depuis 2 mois, y faut bien que ça serve un peu… Heureusement que je les fais bien, car je n’utilise ni antivirus ni firewall.

Oui, je sais, je suis un jeune fou.