Vulnérabilités MSRPC : vers Blaster

• Analyse dans ethereal

  • Tentative d'exploitation d'une vulnérabilité dans l'interface ISystemActivator (interface ORPC, pour DCOM)
  • Code d'exploitation (exploit) publié le 25 juillet 2003 (Xfocus, The Analysis of LSD's Buffer Overrun in Windows RPC Interface), récrit par H D Moore le 26 juillet 2003
  • Utilisé tel quel par les auteurs du vers Blaster, à l'intérieur de l'exécutable msblast.exe
  • Blaster met en écoute un shell SYSTEM sur le port 4444/tcp
  • Blaster Worm Analysis : http://www.eeye.com/html/Research/Advisories/AL20030811.html