Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-436

[MS/IIS] erneuter Ausbruch des "Code Red"-Wurmes befürchtet
(2001-07-30 08:56:04+00) Druckversion

Quelle: http://www.cert.org/advisories/CA-2001-23.html

Es wird für den 01. August mit einem erneuten Ausbruch des "Code Red" Wurms gerechnet. Dieser Wurm befällt Microsoft IIS Webserver über die .ida ISAPI Schwachstelle (MS01-033).

Betroffene Systeme

  • Microsoft Windows Internet Information Services (IIS Webserver)
  • Windows 2000 Server Standardinstallation (bei der ein IIS 5.0 Webserver installiert wird)
  • Cisco CallManager, Unity Server, uOne, ICS7750, Building Broadband Service Manager (da diese Systeme den IIS einsetzen)

Einfallstor
IIS Webserver, HTTP Request

Auswirkung

  • Netzwerküberlastung da eine Variante des "Code Red" Wurm massiv das Netzwerk nach weiteren verwundbaren Systemen durchsucht.
  • Beteiligung an Distributed Denial of Service (DDoS) Angriffen.
  • Da IP-Listen mit "Code Red" infizierten Webservern, d.h. verwundbaren IIS-Webservern, veröffentlicht werden, können Angreifer das System mittels der .ida-ISAPI Schwachstelle trivial kompromittieren und SYSTEM-Privilegien erlangen.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Der bereits am 18.07.2001 unter [MS/IIS] Würmer nutzen Microsoft IIS Schwachstellen aus beschriebene "Code Red" Wurm wird sich voraussichtlich am 01. August abermals massiv ausbreiten. Der Wurm hatte bereits am 19. Juli 2001 binnen 9 Stunden weltweit mehr als 250.000 IIS-Webserver infiziert. Die infizierten (und nicht bereinigten Systeme) werden voraussichtlich am 01. August abermals ihren Scanbetrieb nach weiteren verwundbaren Systemen aufnehmen.
Verschärft wird die Situation durch unterschiedliche Varianten des "Code Red" Wurm, so weist eine Variante eine verbesserte Scaneinheit auf und verändert dafür keine Webseiten mehr.

Der Wurm weist drei Phasen, in Abhängigkeit von dem Wochentag, auf:

  • Tag 1 - 19: Das infizierte System greift willkürliche IP-Adressen an und versucht sich über die .ida ISAPI Schwachstelle in den IIS Webservern zu verbreiten. Die Version 2 des Wurm scheint diese Scans nach verwundbaren Systemen effektiver durchzuführen.
  • Tag 20 - 27: Startet das infizierte System einen Denial of Service (DoS) Angriff auf eine spezifische IP-Adresse (www.whitehouse.gov)
  • Tag 28 - Ende des Monats: Keine Aktivität des Wurms
Die Version 1 des Wurm verändert auf englischen Betriebsystemen die Webseiten und hinterlässt auf kompromittierten Webservern folgenden HTML-Code:
<html><head><meta http-equiv="Content-Type" content="text/html;
charset=English"><title>HELLO!</title></head><body><hr size=5><font
color="red"><p align="center">Welcome to http://www.worm.com !<br><br>
Hacked By Chinese!</font></hr></body></html>
Ansonsten hinterlässt der Wurm keine Spuren auf befallenen Systemen (da der Wurm im Speicher gehalten wird und nicht gespeichert wird).

Die Version 1 des Wurms greift alle Systeme, die auf Port 80 Daten entgegen nehmen, an. Eine erfolgreiche Weiterverbreitung findet jedoch nur bei verwundbaren IIS-Webservern statt.
Allerdings gibt es durch diese "Code Red" Angriffe Kolateralschäden: Durch eine Schwachstelle in den Cisco DSL Routers der 600-Serie führt der Wurmangriff zu einem Denial of Service (DoS) Angriff.

Angriffssignatur/Spuren
Ein Angriff des "Code Red Worm" erzeugt in den IIS-Logfiles unter %systemroot%/system32/LogFiles üblicherweise signifikante Einträge der folgenden Form:
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u780
1%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53
ff%u0078%u0000%u00=aHTTP/1.0

Gegenmaßnahmen
Microsoft stellt seit dem 18.06.2001 ein Sicherheitsupdate, welches die Schwachstelle in der .ida ISAPI entfernt, zur Verfügung. Betreiber eines IIS Webservers sollten nicht nur wegen der "Code Red" Bedrohung das Sicherheitsupdate installieren - diese Schwachstelle kann durch einen Angreifer trivial ausgenutzt werden um auf dem Webserver SYSTEM-Privilegien zu erlangen. Ein Exploitcode wurde veröffentlicht.

Nach der Installation des Sicherheitsupdates ist ein Reboot des Systems notwendig (dadurch wird auch ein infiziertes System bereinigt).

Cisco stellt ebenfalls im Cisco Security Advisory Sicherheitsupdates für Cisco CallManager, Unity Server, uOne, ICS7750, Building Broadband Service Manager und Cisco DSL Router der 600-Serie zur Verfügung.

Eine tabellarische Übersicht der Microsoft Windows Security Patches (engl. und dt.) mit Links zu dem Mirror der Security Patches auf dem ftp-Server der Universität Stuttgart befindet sich unter:

Weitere Information zu diesem Thema

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.