Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-440

[MS/IIS] Neuer Wurm tritt in die Fußstapfen von Code Red (Update)
(2001-08-05 19:07:50+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/08/msg00074.html

Ein neuer Wurm ist gesichtet worden, der dieselbe Schwachstelle wie Code Red zur Verbreitung nutzt, aber darüberhinaus Schadensroutinen enthält. Die "CodeRedII" genannte Variante installiert Backdoors, wodurch Angreifer leichte Kontrolle über das System erlangen können.

Betroffene Systeme

  • Microsoft Windows Internet Information Services (IIS Webserver)
  • Windows 2000 Server Standardinstallation (bei der ein IIS 5.0 Webserver installiert wird)
  • Cisco CallManager, Unity Server, uOne, ICS7750, Building Broadband Service Manager (da diese Systeme den IIS einsetzen)

Einfallstor
HTTP-Anfragen an einen IIS-Server.

Auswirkung
Kompromittierung des Systems.

Typ der Verwundbarkeit
buffer over flow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Wie erwartet ist mittlerweile ein neuer Wurm aufgetaucht, der dieselbe Schwachstelle wie der Wurm Code Red ausnutzt, aber im Gegensatz zu Code Red ein erfolgreich angegriffenes System nicht nur zur Weiterverbreitung nutzt, sondern auch eine Backdoor installiert, mit der Angreifer leicht Kontrolle über das System erlangen können.
Die "CodeRedII" genannte Variante kopiert auf infizierten Systemen die %windir%\system32\cmd.exe nach

  • c:\inetpub\scripts\root.exe (Drivemodifier:\inetpub\scripts\root.exe)
  • c:\progra~1\common~1\system\MSADC\root.exe (DriveModifier:\progra~1\common~1\system\MSADC\root.exe)
wodurch mittels eines GET /scripts/root.exe HTTP/1.0 remote Zugriff auf die MS-DOS Eingabeaufforderung möglich ist.

Des weiteren installiert der "CodeRedII" Wurm auf infizierten Systemen unter
  • c:\explorer.exe
  • d:\explorer.exe
ein trojanisches Pferd, welches folgende Registrierungswerte (in einer Endlosschleife) setzt.
  • SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCDisable auf 0FFFFFF9DhM
    wodurch die Windows File Protection deaktiviert wird.
  • SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\Scripts auf ,,217
  • SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\msadc auf ,,217
  • SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\c auf c:\,,217
  • SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\d auf d:\,,217
Es werden dadurch virtuelle Webpfade (c\ auf c:\, d\ auf d:\) gesetzt. Über diese virtuellen Webpfade ist es mittels eines HTTP-Request möglich, die cmd.exe auszuführen, wodurch ein Angreifer das System fernadministrieren kann. Diese Möglichkeit besteht auch, wenn die root.exe entfernt wurde.

Angriffssignatur/Spuren
Ein Angriff des "CodeRedII" erzeugt in den IIS-Logfiles (unter %systemroot%/system32/LogFiles) üblicherweise signifikante Einträge der folgenden Form:

GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
X%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%
u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0

Erkennung eines infizierten Systems
eEye Security stellt ein kostenloses Tool, welches Systeme (bzw. Class-C Netze) auf verwundbare IIS-Webserver überprüft, zur Verfügung:

Durch den "CodeRedII" infizierte Systeme weisen folgende Dateien auf:
  • c:\explorer.exe
  • d:\explorer.exe
  • c:\inetpub\scripts\root.exe
  • c:\progra~1\common~1\system\MSADC\root.exe

Entfernung des CodeRedII
Microsoft stellt neuerdings ein Tool zur Verfügung, welches den CodeRedII Wurm entfernt:

Hinweis: Das Tool von Microsoft entfernt die virtuellen Webpfade (c\, d\) nicht! Diese müssen nach wie vor von Hand entfernt werden (siehe manuelle Entfernung des CodeRedII).

Es sei darauf hingewiesen, dass eine Neuinstallation des Systems bevorzugt werden sollte, da weitere Systemveränderungen (durch Angreifer über das Netz) hätten vorgenommen werden können.

Manuelle Entfernung des CodeRedII
Folgende Dateien, die der Wurm anlegt, können getrost gelöscht werden.

  • C:\inetpub\Scripts\Root.exe
  • D:\inetpub\Scripts\Root.exe
  • C:\progra~1\Common~1\System\MSADC\Root.exe
  • D:\Progra~1\Common~1\System\MSADC\Root.exe
Auf infizierten Systemen könnte das trojanische Pferd c:\explorer.exe bzw. d:\explorer.exe vorhanden sein und ausgeführt werden. Sollten im Taskmanager zwei explorer.exe aufgeführt werden, so muss die explorer.exe, die nur einen Thread besitzt, beendet werden (die Anzahl der Threads können im Taskmanger über Ansicht | Spalten auswählen | Anzahl der Threads eingeblendet werden). Erst dann können die angegebenen Dateien entfernt werden (die Dateien sind versteckt, weshalb in der Kommandozeile (cmd.exe) folgendes ausgeführt werden sollte: attrib -h -s -r c:\explorer.exe und danach del c:\explorer.exe (bzw. d:\)).

Folgende Registrierungswerte müssen gelöscht werden (mittels regedit.exe):
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\c
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\d
Folgende Registrierungswerte müssen geändert werden:
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\MSADC von 217 auf 205
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\Scripts von 217 auf 204
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon\ den Wert von SFCDisable auf 0 setzen.
Nun sollte das (überfällige) Sicherheitsupdate installiert werden und das System neu gestartet werden.

Besser wäre es jedoch, ein über längere Zeit verwundbares System neu zu installieren und den Webserver von Anfang an sicher zu konfigurieren (sowie die Sicherheitspatches einzuspielen), da eine erfolgreiche Kompromittierung des Systems nicht ausgeschlossen werden kann.

Gegenmaßnahmen
Microsoft stellt seit dem 18.06.2001 ein Sicherheitsupdate, welches die Schwachstelle in der .ida ISAPI entfernt, zur Verfügung.

Nach der Installation des Sicherheitsupdates ist ein Reboot des Systems notwendig (dadurch wird auch ein durch den CodeRed infiziertes System bereinigt - nicht jedoch ein durch den CodeRedII infiziertes System (siehe Entfernung des CodeRedII)).

Cisco stellt ebenfalls im Cisco Security Advisory Sicherheitsupdates für Cisco CallManager, Unity Server, uOne, ICS7750, Building Broadband Service Manager und Cisco DSL Router der 600-Serie zur Verfügung.

Eine tabellarische Übersicht der Microsoft Windows Security Patches (engl. und dt.) mit Links zu dem Mirror der Security Patches auf dem ftp-Server der Universität Stuttgart befindet sich unter:

Weitere Information zu diesem Thema

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.