Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-423

[MS/IIS] Würmer nutzen Microsoft IIS Schwachstellen aus (UPDATE)
(2001-07-18 13:22:15+00)


Es werden mehrere Würmer gemeldet, die sich selbständig durch Kompromittierung von Microsoft IIS Webservern verbreiten.

Betroffene Systeme

Einfallstor
IIS Webserver, HTTP Request

Auswirkung
Durch Schwachstellen im IIS kann beliebiger Programmcode auf dem Webserver ausgeführt werden. Würmer wie "Code Red" kompromittieren zumeist nur die Webseiten und Scannen nach weiteren verwundbaren Systemen.

Typ der Verwundbarkeit
buffer overflow bug, design flaw

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Seit einigen Tagen werden verstärkt Angriffe gegen Microsoft IIS Webservern beobachtet. Diese sind teilweise auf sich selbständig verbreitende Würmer, die bekannte IIS-Schwachstellen ausnutzen, zurückzuführen.

Eine neue Wurm-Variante mit dem inoffiziellen Namen "Code Red Worm", die IIS-Webserver angreift, nutzt die Schwachstelle in den .ida ISAPI Erweiterungen zur Kompromittierung aus, über die das RUS-CERT bereits am 19.06.2001 eine Meldung veröffentlichte ([MS/IIS/Index Server] Schwachstelle in ISAPI Erweiterungen).

Angriffssignatur/Spuren
Ein Angriffs des "Code Red Worm" erzeugt in den IIS-Logfiles unter %systemroot%/system32/LogFiles üblicherweise signifikante Einträge der folgenden Form:

/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u780
1%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53
ff%u0078%u0000%u00=aHTTP/1.0
Der Wurm hinterlässt auf kompromittierten Webservern folgenden HTML-Code:
<html><head><meta http-equiv="Content-Type" content="text/html;
charset=English"><title>HELLO!</title></head><body><hr size=5><font
color="red"><p align="center">Welcome to http://www.worm.com !<br><br>
Hacked By Chinese!</font></hr></body></html>
Dabei sind nur Webserver in der US-Version des Betriebssystems von dieser Veränderung der Webseiten betroffen.
Der Wurm selbst ist auch ohne eine Veränderung der Webseiten aktiv und versucht, weitere Systeme zu kompromittieren.

Gegenmaßnahmen
Es stehen Patches zur Behebung der (bekannten) IIS-Schwachstellen zur Verfügung. Ferner sollten bei dem Einsatz eines IIS-Webservers die IIS Checklisten befolgt werden

Da bei der Standardinstallation von Windows 2000 Servern der IIS 5.0 installiert und gestartet wird, sollten Windows 2000 Server diesbezüglich überprüft, und der IIS-Webserver gegebenenfalls deaktivert, werden!

UPDATE
Mittlerweile wurde eine erkleckliche Anzahl von durch diesen Wurm kompromittierten Rechnern für einen Distributed Denial of Service Attack auf den Webserver des weißen Hauses (http://www.whitehouse.gov/) mißbraucht.

Weitere Information zu diesem Thema

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=423