Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-436

[MS/IIS] erneuter Ausbruch des "Code Red"-Wurmes befürchtet
(2001-07-30 08:56:04+00)

Quelle: http://www.cert.org/advisories/CA-2001-23.html

Es wird für den 01. August mit einem erneuten Ausbruch des "Code Red" Wurms gerechnet. Dieser Wurm befällt Microsoft IIS Webserver über die .ida ISAPI Schwachstelle (MS01-033).

Betroffene Systeme

Einfallstor
IIS Webserver, HTTP Request

Auswirkung

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Der bereits am 18.07.2001 unter [MS/IIS] Würmer nutzen Microsoft IIS Schwachstellen aus beschriebene "Code Red" Wurm wird sich voraussichtlich am 01. August abermals massiv ausbreiten. Der Wurm hatte bereits am 19. Juli 2001 binnen 9 Stunden weltweit mehr als 250.000 IIS-Webserver infiziert. Die infizierten (und nicht bereinigten Systeme) werden voraussichtlich am 01. August abermals ihren Scanbetrieb nach weiteren verwundbaren Systemen aufnehmen.
Verschärft wird die Situation durch unterschiedliche Varianten des "Code Red" Wurm, so weist eine Variante eine verbesserte Scaneinheit auf und verändert dafür keine Webseiten mehr.

Der Wurm weist drei Phasen, in Abhängigkeit von dem Wochentag, auf:

Die Version 1 des Wurm verändert auf englischen Betriebsystemen die Webseiten und hinterlässt auf kompromittierten Webservern folgenden HTML-Code:
<html><head><meta http-equiv="Content-Type" content="text/html;
charset=English"><title>HELLO!</title></head><body><hr size=5><font
color="red"><p align="center">Welcome to http://www.worm.com !<br><br>
Hacked By Chinese!</font></hr></body></html>
Ansonsten hinterlässt der Wurm keine Spuren auf befallenen Systemen (da der Wurm im Speicher gehalten wird und nicht gespeichert wird).

Die Version 1 des Wurms greift alle Systeme, die auf Port 80 Daten entgegen nehmen, an. Eine erfolgreiche Weiterverbreitung findet jedoch nur bei verwundbaren IIS-Webservern statt.
Allerdings gibt es durch diese "Code Red" Angriffe Kolateralschäden: Durch eine Schwachstelle in den Cisco DSL Routers der 600-Serie führt der Wurmangriff zu einem Denial of Service (DoS) Angriff.

Angriffssignatur/Spuren
Ein Angriff des "Code Red Worm" erzeugt in den IIS-Logfiles unter %systemroot%/system32/LogFiles üblicherweise signifikante Einträge der folgenden Form:
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u780
1%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53
ff%u0078%u0000%u00=aHTTP/1.0

Gegenmaßnahmen
Microsoft stellt seit dem 18.06.2001 ein Sicherheitsupdate, welches die Schwachstelle in der .ida ISAPI entfernt, zur Verfügung. Betreiber eines IIS Webservers sollten nicht nur wegen der "Code Red" Bedrohung das Sicherheitsupdate installieren - diese Schwachstelle kann durch einen Angreifer trivial ausgenutzt werden um auf dem Webserver SYSTEM-Privilegien zu erlangen. Ein Exploitcode wurde veröffentlicht.

Nach der Installation des Sicherheitsupdates ist ein Reboot des Systems notwendig (dadurch wird auch ein infiziertes System bereinigt).

Cisco stellt ebenfalls im Cisco Security Advisory Sicherheitsupdates für Cisco CallManager, Unity Server, uOne, ICS7750, Building Broadband Service Manager und Cisco DSL Router der 600-Serie zur Verfügung.

Eine tabellarische Übersicht der Microsoft Windows Security Patches (engl. und dt.) mit Links zu dem Mirror der Security Patches auf dem ftp-Server der Universität Stuttgart befindet sich unter:

Weitere Information zu diesem Thema

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=436