home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / security / doc / cert_advisories / CA-91:03.unauthorized.password.change.request < prev    next >
Encoding:
Text File  |  1991-04-03  |  3.7 KB  |  103 lines
  1. ---------------------------------------------------------------------------
  2. CA-91:03                       CERT Advisory
  3.                                April 4, 1991
  4.                     Unauthorized Password Change Requests
  5.                              Via Mail Messages
  6.  
  7. ---------------------------------------------------------------------------
  8.  
  9. DESCRIPTION:
  10.  
  11. The Computer Emergency Response Team/Coordination Center (CERT/CC) has
  12. received a number of incident reports concerning the receipt of mail
  13. instructing the user to immediately change his/her password.  The user
  14. is further instructed to change the password to one that is specified in
  15. the mail message. 
  16.  
  17. These mail messages can be made to look as if they have been sent from
  18. a site administrator or root.  In reality, they may have been sent by 
  19. an individual at a remote site, who is trying to gain access to the 
  20. local machine via the user's account.
  21.  
  22. Several variations of these mail messages are circulating via the Internet 
  23. community.  We are including one such example at the end of this
  24. advisory.
  25.  
  26.  
  27. IMPACT:
  28.  
  29. An intruder can gain access to a system through the unauthorized
  30. use of the (possibly privileged) accounts whose passwords have been 
  31. changed.
  32.  
  33.  
  34. SOLUTION:
  35.  
  36. The CERT/CC recommends the following actions:
  37.  
  38.     1)  Any user receiving such a message should verify its authenticity
  39.         with his/her system administrator before acting on the instructions
  40.         within the mail message.  If a user has changed his/her password
  41.         per the instructions, he/she should immediately change it again 
  42.         to a secure password and alert his/her system administrator.
  43.  
  44.     2)  System administrators should check with their user communities
  45.         to ensure that no user has changed his/her password in response to
  46.         one of these mail messages.  If this has occurred, immediately
  47.         have the password changed again.  Further, the system should be
  48.         carefully examined for damage, or changes that may have been
  49.         caused by the intruder.  We also ask that you please contact the
  50.     CERT/CC.
  51.  
  52.     3)  The CERT/CC recommends that system administrators NEVER mail
  53.         such a request to a user.  That is, NEVER send a request for
  54.         a password change to a user and also specify the new password
  55.         that should be used. 
  56.  
  57.  
  58. ---------------------------------------------------------------------------
  59. SAMPLE MAIL MESSAGE as received by the CERT (including spelling errors, etc.)
  60.  
  61.     :
  62.  
  63.   {mail header which may or may not be local} 
  64.  
  65.     :
  66.  
  67. This is the system administration:
  68.  
  69.      Because of security faults, we request that you change your password
  70.      to "systest001". This change is MANDATORY and should be done IMMEDIATLY.
  71.      You can make this change by typing "passwd" at the shell prompt. Then,
  72.      follow the directions from there on.
  73.  
  74.      Again, this change should be done IMMEDIATLY. We will inform you when
  75.      to change your password back to normal, which should not be longer than
  76.      ten minutes.
  77.  
  78.                 Thank you for your cooperation,
  79.  
  80.                  The system administration (root)
  81.  
  82.  
  83. END OF SAMPLE MAIL MESSAGE
  84. ---------------------------------------------------------------------------
  85.  
  86.  
  87. If you believe that your system has been compromised, contact CERT/CC via
  88. telephone or e-mail.
  89.  
  90. Computer Emergency Response Team/Coordination Center (CERT/CC)
  91. Software Engineering Institute
  92. Carnegie Mellon University
  93. Pittsburgh, PA 15213-3890
  94.  
  95. Internet E-mail: cert@cert.sei.cmu.edu
  96. Telephone: 412-268-7090 24-hour hotline:
  97.            CERT/CC personnel answer 7:30a.m.-6:00p.m. EST,
  98.            on call for emergencies during other hours.
  99.  
  100. Past advisories and other computer security related information are available
  101. for anonymous ftp from the cert.sei.cmu.edu (192.88.209.5) system.
  102.  
  103.