[MS/IIS] Würmer nutzen Microsoft IIS Schwachstellen aus (UPDATE)
(2001-07-18 13:22:15+00)
Es werden mehrere Würmer gemeldet, die sich selbständig durch Kompromittierung von Microsoft IIS Webservern verbreiten.
Betroffene Systeme
- Microsoft Windows Internet Information Services (IIS) Webserver
- Windows 2000 Server Standardinstallation (bei der ein IIS 5.0 Webserver installiert wird)
Einfallstor
IIS Webserver, HTTP Request
Auswirkung
Durch Schwachstellen im IIS kann beliebiger Programmcode auf dem Webserver ausgeführt werden. Würmer wie "Code Red" kompromittieren zumeist nur die Webseiten und Scannen nach weiteren verwundbaren Systemen.
Typ der Verwundbarkeit
buffer overflow bug, design flaw
Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Seit einigen Tagen werden verstärkt Angriffe gegen Microsoft IIS Webservern beobachtet. Diese sind teilweise auf sich selbständig verbreitende Würmer, die bekannte IIS-Schwachstellen ausnutzen, zurückzuführen.
Eine neue Wurm-Variante mit dem inoffiziellen Namen "Code Red Worm", die IIS-Webserver angreift, nutzt die Schwachstelle in den .ida ISAPI Erweiterungen zur Kompromittierung aus, über die das RUS-CERT bereits am 19.06.2001 eine Meldung veröffentlichte ([MS/IIS/Index Server] Schwachstelle in ISAPI Erweiterungen).
Angriffssignatur/Spuren
Ein Angriffs des "Code Red Worm" erzeugt in den IIS-Logfiles unter %systemroot%/system32/LogFiles üblicherweise signifikante Einträge der folgenden Form:
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u780 1%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53 ff%u0078%u0000%u00=aHTTP/1.0Der Wurm hinterlässt auf kompromittierten Webservern folgenden HTML-Code:
<html><head><meta http-equiv="Content-Type" content="text/html; charset=English"><title>HELLO!</title></head><body><hr size=5><font color="red"><p align="center">Welcome to http://www.worm.com !<br><br> Hacked By Chinese!</font></hr></body></html>Dabei sind nur Webserver in der US-Version des Betriebssystems von dieser Veränderung der Webseiten betroffen.
Der Wurm selbst ist auch ohne eine Veränderung der Webseiten aktiv und versucht, weitere Systeme zu kompromittieren.
Gegenmaßnahmen
Es stehen Patches zur Behebung der (bekannten) IIS-Schwachstellen zur Verfügung. Ferner sollten bei dem Einsatz eines IIS-Webservers die IIS Checklisten befolgt werden
- Übersicht über die Checklisten
- IIS 5.0 unter Windows 2000 (SP2)
Microsoft Security Bulletins - IIS 4.0 unter Windows NT (SP6a)
Microsoft Security Bulletins
UPDATE
Mittlerweile wurde eine erkleckliche Anzahl von durch diesen Wurm kompromittierten Rechnern für einen Distributed Denial of Service Attack auf den Webserver des weißen Hauses (http://www.whitehouse.gov/) mißbraucht.
Weitere Information zu diesem Thema
- BUGTRAQ-Artikel mit detaillierter Analyse bzgl. "Code Red Worm"
- Incidents.org DoS.Storm.Worm
- Symantec: DoS.Storm.Worm
Weitere Artikel zu diesem Thema:
- [MS/IIS] Neuer Wurm tritt in die Fußstapfen von Code Red (Update) (2001-08-05)
Ein neuer Wurm ist gesichtet worden, der dieselbe Schwachstelle wie Code Red zur Verbreitung nutzt, aber darüberhinaus Schadensroutinen enthält. Die "CodeRedII" genannte Variante installiert Backdoors, wodurch Angreifer leichte Kontrolle über das System erlangen können. - [MS/IIS] erneuter Ausbruch des "Code Red"-Wurmes befürchtet (2001-07-30)
Es wird für den 01. August mit einem erneuten Ausbruch des "Code Red" Wurms gerechnet. Dieser Wurm befällt Microsoft IIS Webserver über die.idaISAPI Schwachstelle (MS01-033). - [MS/IIS/Index Server] Schwachstelle in ISAPI Erweiterungen (2001-06-19)
Durch einen buffer overflow bug in den ISAPI Erweiterungen.idqund.ida, die standardmäßig auf Microsoft IIS Webserven installiert werden, kann ein Angreifer beliebigen Programmcode mit Systemprivilegien ausführen. - [MS/IIS] zahlreiche Schwachstellen im Microsoft IIS 4.0/5.0 (2001-05-17)
Microsofts IIS 4.0/5.0 besitzt mehrere, teilweise schwerwiegende, Schwachstellen. Durch eine dieser Schwachstellen kann ein Angreifer beliebige Systembefehle mit den Privilegien des BenutzersIUSR_machinenameausführen.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=423