CornerCircleTop
CornerCircleBottom
VButtonBarBottom
Pàgina Inicial
Una per Dia
Articles
Directori
Biblioteca
Alertes
VButtonBarBottom
Una per Dia

Última Modificació del Document
19 de juliol de 2001


Una per Dia - Tornar a l'índex
Versió en català de "Una al día" d'Hispasec

19 de juliol de 2001 - Un nou cuc, .ida "Code Red", ataca als servidors IIS

Durant les últimes hores s'ha detectat un gran número d'atacs contra servidors web utilitzant la vulnerabilitat .ida. Aquests atacs són produïts pel cuc .ida "Code Red".

El cuc, recentment descrit per eEye Digital Security, ha mostrat una gran activitat i en els tres primers dies després del seu descobriment, ja s'han comptabilitzat més de cinc mil servidors infectats. Per atacar els servidors utilitza el desbordament de memòria intermèdia existent al filtre ISAP de Microsoft Indexing Service. Aquesta vulnerabilitat permet a un atacant remot executar codi arbitrari al servidor amb privilegis de SYSTEM, el que li permet aconseguir un control absolut de la màquina.

Per tal de solucionar aquesta vulnerabilitat, descrita ara fa cosa d'un mes i mig, Microsoft va publicar un butlletí (MS01-33) i un pegat. Donada la importància d'aquesta vulnerabilitat, la instal·lació d'aquest pegat és realment molt important.

El cuc .ida "Code Red" té les següents característiques:

  • Un cop infectada la màquina, arrenca 100 threads que són utilitzats per cercar altres servidors web vulnerables i infectar-los amb el cuc.
  • Modifica les pàgines web existents amb el següent codi:

    <html><head><meta http-equiv="Content-Type"
    content="text/html;charset=English">
    <title>HELLO!</title></head>
    <bady><hr size=5>
    <font color="red"><p align="center"> Welcome to http://www.worm.com ! <br><br>Hacked By Chinese! </font></hr></bady>
    </html>

Una primera anàlisi del cuc ens permet descriure breument el seu comportant: un cop infectada la màquina, arrenca 100 threads amb un bucle que analitza altres màquines per tal d'infectar-les (excepte quan existeix el fitxer C:\NOTWORM, que desactiva la funció de propagació).

El cuc utilitza un sistema pseudo-aleatori per a determinar les adreces IP a analitzar. Aquest sistema fa que la seqüència d'adreces IP analitzades sigui la mateixa a tots els servidors infectats. Com a conseqüència, a mesura que el número de màquines compromeses augmenta, les primeres adreces analitzades es veuen bombardejades amb una gran quantitat de tràfic, el que pot provocar un atac de denegació de servei. Addicionalment, el cuc té la capacitat d'infectar vàries vegades la mateixa màquina, el que pot provocar l'exhauriment dels recursos.

Pel que sembla, el cuc té un límit en el número de vegades en que una mateixa màquina es infectada (a l'entorn de laboratori d'eEye aquest número sembla ser 3, encara que no es pot afirmar ara per ara que aquest límit sigui el mateix en qualsevol circumstància). No obstant, pel que sembla aquest sistema d'auto-limitació no funciona correctament i, en determinats servidors, el cuc continua arrencant threads fins a l'exhauriment total dels recursos del sistema, provocant l'aturada de la màquina.

Segons els informes publicats per eEye Digital Security, en aquests moments (18-07-01) el número de màquines infectades a nivell Internet es calcula en més de 5.000, que van analitzant altres màquines per determinar si són vulnerables i instal·lar-hi el cuc. Aquesta activitat ja està generant un important volum de tràfic a les adreces IP que surten al començament de la relació pseudo-aleatòria d'adreces utilitzada pel cuc.

Per a protegir-se d'aquest cuc, ha d'instal·lar-se l'actualització publicada per Microsoft. Al butlletí d'eEye es facilita un fragment del paquet de dades enviat pel cuc, de forma que pugui configurar-se un sistema de detecció d'intrusos per tal de detectar l'activitat del cuc.

Més informació:

Butlletí d'eEye Digital Security
http://www.eeye.com/html/Research/Advisories/
AL20010717.html
http://www.quands.com/alertes/html/code_red.html

Una per dia (18-06-01): Greu desbordament de memòria intermèdia a totes les versions d'IIS
http://www.quands.com/unaperdia/arxiu/20010618.html

Butlletí de Microsoft (MS01-33)
http://www.microsoft.com/technet/treeview/default.asp?url=
/technet/security/bulletin/MS01-033.asp

Pegat per a Windows NT 4
http://www.microsoft.com/Downloads/
Release.asp?ReleaseID=30833

Pegat per a Windows 2000 (Professional, Server i Advanced Server)
http://www.microsoft.com/Downloads/
Release.asp?ReleaseID=30800

Xavier Caballé
xcaballe@quands.com
Contacte: info@quands.com