RUS-CERT-436 – Archivierte Meldung

Meldung Nr: RUS-CERT-436

[MS/IIS] erneuter Ausbruch des "Code Red"-Wurmes befürchtet
(2001-07-30 08:56:04+00)

Quelle: http://www.cert.org/advisories/CA-2001-23.html

Es wird für den 01. August mit einem erneuten Ausbruch des "Code Red" Wurms gerechnet. Dieser Wurm befällt Microsoft IIS Webserver über die .ida ISAPI Schwachstelle (MS01-033).

Betroffene Systeme

Microsoft Windows Internet Information Services (IIS Webserver)
Windows 2000 Server Standardinstallation (bei der ein IIS 5.0 Webserver installiert wird)
Cisco CallManager, Unity Server, uOne, ICS7750, Building Broadband Service Manager (da diese Systeme den IIS einsetzen)

Einfallstor
IIS Webserver, HTTP Request

Auswirkung

Netzwerküberlastung da eine Variante des "Code Red" Wurm massiv das Netzwerk nach weiteren verwundbaren Systemen durchsucht.
Beteiligung an Distributed Denial of Service (DDoS) Angriffen.
Da IP-Listen mit "Code Red" infizierten Webservern, d.h. verwundbaren IIS-Webservern, veröffentlicht werden, können Angreifer das System mittels der .ida-ISAPI Schwachstelle trivial kompromittieren und SYSTEM-Privilegien erlangen.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Der bereits am 18.07.2001 unter [MS/IIS] Würmer nutzen Microsoft IIS Schwachstellen aus beschriebene "Code Red" Wurm wird sich voraussichtlich am 01. August abermals massiv ausbreiten. Der Wurm hatte bereits am 19. Juli 2001 binnen 9 Stunden weltweit mehr als 250.000 IIS-Webserver infiziert. Die infizierten (und nicht bereinigten Systeme) werden voraussichtlich am 01. August abermals ihren Scanbetrieb nach weiteren verwundbaren Systemen aufnehmen.
Verschärft wird die Situation durch unterschiedliche Varianten des "Code Red" Wurm, so weist eine Variante eine verbesserte Scaneinheit auf und verändert dafür keine Webseiten mehr.

Der Wurm weist drei Phasen, in Abhängigkeit von dem Wochentag, auf:

Tag 1 - 19: Das infizierte System greift willkürliche IP-Adressen an und versucht sich über die .ida ISAPI Schwachstelle in den IIS Webservern zu verbreiten. Die Version 2 des Wurm scheint diese Scans nach verwundbaren Systemen effektiver durchzuführen.
Tag 20 - 27: Startet das infizierte System einen Denial of Service (DoS) Angriff auf eine spezifische IP-Adresse (www.whitehouse.gov)
Tag 28 - Ende des Monats: Keine Aktivität des Wurms

Die Version 1 des Wurm verändert auf englischen Betriebsystemen die Webseiten und hinterlässt auf kompromittierten Webservern folgenden HTML-Code:

<html><head><meta http-equiv="Content-Type" content="text/html;
charset=English"><title>HELLO!</title></head><body><hr size=5><font
color="red"><p align="center">Welcome to http://www.worm.com !<br><br>
Hacked By Chinese!</font></hr></body></html>

Ansonsten hinterlässt der Wurm keine Spuren auf befallenen Systemen (da der Wurm im Speicher gehalten wird und nicht gespeichert wird).

Die Version 1 des Wurms greift alle Systeme, die auf Port 80 Daten entgegen nehmen, an. Eine erfolgreiche Weiterverbreitung findet jedoch nur bei verwundbaren IIS-Webservern statt.
Allerdings gibt es durch diese "Code Red" Angriffe Kolateralschäden: Durch eine Schwachstelle in den Cisco DSL Routers der 600-Serie führt der Wurmangriff zu einem Denial of Service (DoS) Angriff.

Angriffssignatur/Spuren
Ein Angriff des "Code Red Worm" erzeugt in den IIS-Logfiles unter %systemroot%/system32/LogFiles üblicherweise signifikante Einträge der folgenden Form:

/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u780
1%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53
ff%u0078%u0000%u00=aHTTP/1.0

Gegenmaßnahmen
Microsoft stellt seit dem 18.06.2001 ein Sicherheitsupdate, welches die Schwachstelle in der .ida ISAPI entfernt, zur Verfügung. Betreiber eines IIS Webservers sollten nicht nur wegen der "Code Red" Bedrohung das Sicherheitsupdate installieren - diese Schwachstelle kann durch einen Angreifer trivial ausgenutzt werden um auf dem Webserver SYSTEM-Privilegien zu erlangen. Ein Exploitcode wurde veröffentlicht.

Windows NT 4.0:
Der eigentliche Patch zur Beseitigung der angegebenen Schwachstelle ist auch in dem sogenannten Security Roll-up Sicherheitsupdate, welches beinahe alle Sicherheitsupdates für Windows NT 4.0 (seit SP6a) vereinigt, enthalten.
Post-Windows NT 4.0 Service Pack 6a Security Rollup Package (SRP)
Windows 2000 Professional, Server and Advanced Server:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800

Nach der Installation des Sicherheitsupdates ist ein Reboot des Systems notwendig (dadurch wird auch ein infiziertes System bereinigt).

Cisco stellt ebenfalls im Cisco Security Advisory Sicherheitsupdates für Cisco CallManager, Unity Server, uOne, ICS7750, Building Broadband Service Manager und Cisco DSL Router der 600-Serie zur Verfügung.

Eine tabellarische Übersicht der Microsoft Windows Security Patches (engl. und dt.) mit Links zu dem Mirror der Security Patches auf dem ftp-Server der Universität Stuttgart befindet sich unter:

Windows NT 4.0:
http://cert.uni-stuttgart.de/winnt-updates.php
Windows 2000:
http://cert.uni-stuttgart.de/win2000-updates.php

Weitere Information zu diesem Thema

Microsoft Security Bulletin MS01-033 Unchecked Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise
Cisco Security Advisory "Code Red" Worm - Customer Impact
eEye Digital Security Analyse des "Code Red" Wurm

(tf)

Weitere Artikel zu diesem Thema:

[MS/Generic, IIS] Neuer Wurm nutzt mehrere Schwachstellen zur Verbreitung aus (Update) (2001-09-18)
Ein Wurm namens Nimda nutzt scheinbar mehrere Schwachstellen von Microsoft Windows zur Verbreitung aus. Neben mehreren Schwachstellen des IIS-Webservers findet eine Verbreitung über ein E-Mail-Attachment (README.EXE) statt. Ferner werden durch manipulierte Webseiten (die mit einer readme.eml ersetzt wurden) Systeme mit ungepachtem Internet Explorer, bei dem Besuch der Webseite mit dem Internet Explorer, infiziert.
[MS/IIS] Neuer Wurm tritt in die Fußstapfen von Code Red (Update) (2001-08-05)
Ein neuer Wurm ist gesichtet worden, der dieselbe Schwachstelle wie Code Red zur Verbreitung nutzt, aber darüberhinaus Schadensroutinen enthält. Die "CodeRedII" genannte Variante installiert Backdoors, wodurch Angreifer leichte Kontrolle über das System erlangen können.
[MS/IIS] Würmer nutzen Microsoft IIS Schwachstellen aus (UPDATE) (2001-07-18)
Es werden mehrere Würmer gemeldet, die sich selbständig durch Kompromittierung von Microsoft IIS Webservern verbreiten.
[MS/IIS/Index Server] Schwachstelle in ISAPI Erweiterungen (2001-06-19)
Durch einen buffer overflow bug in den ISAPI Erweiterungen .idq und .ida, die standardmäßig auf Microsoft IIS Webserven installiert werden, kann ein Angreifer beliebigen Programmcode mit Systemprivilegien ausführen.
[MS/IIS] zahlreiche Schwachstellen im Microsoft IIS 4.0/5.0 (2001-05-17)
Microsofts IIS 4.0/5.0 besitzt mehrere, teilweise schwerwiegende, Schwachstellen. Durch eine dieser Schwachstellen kann ein Angreifer beliebige Systembefehle mit den Privilegien des Benutzers IUSR_machinename ausführen.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

https://cert.uni-stuttgart.de/ticker/article.php?mid=436