Descripció El passat 13 de juliol van rebre diversos registres de paquets i informacions de dos administradors de xarxes que estaven experimentant un gran número d'atacs que intentaven aprofitar-se de la la vulnerabilitat .ida recentment descoberta per eEye Digital Security (http://www.eeye.com/html/Research/Advisories/ AD20010618.html) el passat 18 de juny de 2001. Després d'una primera anàlisi dels fitxers de registre rebuts hem pogut deduir que algú ha publicat un cuc que intenta aprofitar-se de la vulnerabilitat .ida. Als fitxers de registre hem pogut veure intents de connexió des de més de cinc mil servidors web basats en IIS 5 amb destí a d'altres servidors web, tractant d'aprofitar-se de la vulnerabilitat .ida. Els fitxers també mostren que els servidors compromesos són utilitzats per atacar a altres màquines. La següent informació és fruit de la investigació de Ryan Permeh (ryan@eeye.com) i Marc Maiffret (marc@eeye.com) d'eEye Digital Security. Volem agrair a Matthew Asham, de Left Coast Systems Corp, i Ken Eichman, de Chemical Abstracts Service, per facilitar-nos els fitxers de registre i les dades necessàries per fer possible aquesta anàlisi. A eEye hem batejat aquest cuc amb el nom de “cuc .ida ‘Code Red'” ja que part d'aquest cuc està dissenyat per canviar el contingut de les pàgines web amb el text “Hacked by Chinese” i també a que la beguda “Code Red” de Mountain Dew ha estat la única cosa que ens ha mantingut desperts ahir a la nit mentre treballàvem en analitzar aquest cuc. Detalls Nota: Els detalls actualment són bastant limitats. Tenim previst publicar una anàlisi completa del cuc, però creiem que és important que l'avís surti el més aviat possible ja que el cuc està començant a afectar a un gran número de gent. Com a descripció breu podem dir que és un cuc que fa servir el desbordament de memòria intermèdia .IDA per tal d'executar codi (sota el context de seguretat SYSTEM) als sistemes remots vulnerables. El cuc fa les següents accions a un sistema infectat: - Arrenca 100 threads, que són utilitzats per analitzar altres servidors web que puguin ser infectats.
- Verificar l'existència del fitxer C:\NOTWORM i, en cas d'existir, no prova d'autopropagar-se a d'altres servidors.
- Modifica el contingut de les pàgines web amb el missatge:
<html><head><meta http-equiv=”Content-Type” content=”text/html; charset=English”><title> HELLO!</title></head><bady><hr size=5><font color=”red”><p align=”center”> Welcome to http://www.worm.com !<br><br>Hacked By Chinese! </font></hr></bady></html>
Anàlisi Nota: Recordeu que això és una anàlisi prèvia. Properament donarem més detalls. Un cop infectat, la màquina víctima arrenca 100 threads dins d'un bucle. Aquest bucle verifica l'existència del fitxer C:\NOTWORM i, en cas de que el fitxer no existeixi, el cuc començarà a cercar nous servidors per tal d'infectar-los. El cuc no fa una cerca contra adreces IP de forma aleatòria. No obstant, si que fa servir un base per tal de generar “aleatòriament” les adreces IP. Això vol dir que cada servidor infectat començarà sempre per la mateixa adreça IP i continuarà amb la mateixa seqüència d'adreces. Això és especialment greu per aquells servidors que apareguin al començament d'aquesta seqüència “aleatòria” d'adreces ja que a mesura que hi hagi més servidors infectats pel cuc rebran més intents de connexió. Això crea potencialment el problema d'un atac de denegació de servei contra les primeres adreces IP de la seqüència. També indica que les màquines es poden infectar vàries vegades, exhaurint els recursos disponibles. Ara bé, pel que sembla el cuc s'imposa un límit en el número de vegades que una mateixa màquina es re-infectada. Les anàlisis inicials semblen suggerir que el cuc fixa aquest límit en tres re-infeccions. Ara bé, es possible que aquest número s'hagi fixat al nostre escenari de prova. D'altres anàlisis a l'entorn de laboratori semblen indicar que la limitació interna en el número de threads no funciona correctament en determinades circumstàncies. Això vol dir que determinats servidors infectats continuaran arrencant nous threads fins que els recursos del sistema siguin tan pocs que el propi servidor web s'aturarà o restarà en un estat totalment inutilitzable. Resum En el moment en que publiquem l'anàlisi completa, s'inclourà el codi comentat del cuc. Tenim informes d'alguns administradors de xarxes on ens indiquen que els seus sistemes de detecció d'intrusos han detectat aquest atac .ida amb origen unes cinc mil adreces diferents en el període de tres dies. Les màquines que figuren al començament de la seqüència d'adreces IP patiran un atac de denegació de servei basat en la quantitat de tràfic i aquelles màquines que són vulnerables al cuc es molt probable que acabin penjades. Com protegir-se d'aquest atac .ida Obtenir l'actualització publicada per Microsoft per a la vulnerabilitat .ida:
http://www.microsoft.com/technet/treeview/default.asp?url=
/technet/security/bulletin/MS01-033.asp Avís de seguretat d'eEye Digital Security:
http://www.eeye.com/html/Research/Advisories/AD20010618.html Part del paquet enviat pel cuc .ida “Code Red”: /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u
9090%u6858%ucbd3%u7801%u9090%u6858%ucbd
3%u7801%u9090%u6858%ucbd3%u7801%u9090%u
9090%u8190%u00c3%u0003%u8b00%u531b%u53f
f%u0078%u0000%u00=a HTTP/1.0 Es pot configurar el sistema de detecció d'intrusos per tal de monitoritzar aquest paquet per tal de detectar qualsevol intent d'accés per part del cuc. De la mateixa forma, qualsevol sistema de detecció d'intrusos que sàpiga detectar la vulnerabilitat .ida ha de ser capaç de detectar també aquest atac. Informació del fabricant de software Microsoft ha publicat prèviament una actualització que elimina aquesta vulnerabilitat. Aquesta actualització està disponible a:
http://www.microsoft.com/technet/treeview/default.asp?url=
/technet/security/bulletin/MS01-033.asp Credits Ryan Permeh i Marc Maiffret Salutacions A l'empleat de Del Taco que ens va vendre menjar a les tres de la matinada i que ens ha permès realitzar aquesta investigació. Al responsable de deixar les llaunes calentes de “Code Red” de Mountain View al laboratori d'eEye. Copyright (c) 1998-2001 eEye Digital Security
Es permet la redistribució d'aquesta alerta de forma electrònica sempre que no s'editi de cap forma sense el permís previ d'eEye. Per a la distribució, total o parcial, d'aquesta alerta en qualsevol mitjà no electrònic cal demanar permís prèviament a alert@eEye.com. Avís
La informació continguda en aquest avís pot ser modificada sense avís previ. La utilització d'aquesta informació implica l'acceptació de la seva utilització TAL QUAL. No hi ha cap garantia respecte a la informació facilitada i en cap circumstància l'autor es responsable de cap dany originat per la utilització o distribució d'aquesta informació. La utilització d'aquesta informació es fa sota l'exclusiva responsabilitat del lector. Comentaris
Podeu enviar comentaris, actualitzacions i suggeriments a: eEye Digital Security
http://www.eEye.com
info@eEye.com | 
