jueves, 19 de julio de 2001

Un nuevo gusano, .ida Red Code, ataca a los servidores IIS

En las últimas horas se ha detectado un gran número de ataques contra
servidores web utilizando la vulnerabilidad .IDA. Estos ataques son
producidos por el gusano ida "Red Code".
El gusano, recientemente descrito por eEye Digital Security, ha mostrado
una gran actividad y en los tres primeros días después de su
descubrimiento, ya se han contabilizado más de cinco mil servidores
infectados. Para atacar los servidores utiliza el desbordamiento de búfer
existente en el filtro ISAPI de Microsoft Indexing Service. Esta
vulnerabilidad permite a un atacante remoto ejecutar código arbitrario en
el servidor con privilegios de SYSTEM, lo que le facilita un control
absoluto de la máquina.

Para solucionar esta vulnerabilidad, publicada hace más de un mes y medio,
Microsoft publicó un boletín (MS01-33) y un parche. Debido a la
importancia de esta vulnerabilidad, la instalación del parche es realmente
muy importante.

El gusano .ida "Red Code" tiene las siguientes características:

* Una vez infectada la máquina, arranca 100 threads que son utilizados
para buscar otros servidores web vulnerables e infectarlos con el gusano.

* Modifica las páginas web existentes con el siguiente código:

<html><head><meta http-equiv=óContent-Typeó content=ótext/html;
charset=Englishó>
<title>HELLO!</title></head>
<bady><hr size=5>
<font color=óredó><p align=ócenteró> Welcome to http://www.worm.com !
<br><br>Hacked By Chinese! </font></hr></bady>
</html>

El primer análisis al gusano nos permite describir brevemente su
comportamiento: una vez infectada la máquina, arranca 100 threads con un
bucle que analiza otras máquinas en vistas a infectarlas (excepto si
existe un archivo denominado C:\NOTWORM, en cuyo caso la función de
propagación queda anulada).

El gusano utiliza un sistema pseudo-aleatorio para determinar las
direcciones IP a analizar. Este sistema hace que la secuencia de
direcciones IP analizadas sea la misma en todos los servidores infectados.
Como consecuencia, a medida que el número de máquinas comprometidas
aumenta, las primeras direcciones analizadas se ven bombardeadas con una
gran cantidad de tráfico, lo que puede provocar un ataque de denegación de
servicio. Adicionalmente, el gusano tiene la capacidad de infectar varias
veces la misma máquina, lo que puede provocar el agotamiento de los
recursos.

Por lo que parece, el gusano impone un límite en el número de veces en que
una misma máquina es infectado (en el entorno de laboratorio de eEye este
número parece ser 3, aunque no se puede afirmar por el momento que este
límite sea el mismo en cualquier circunstancia). No obstante, parece que
este sistema de auto-limitación no funciona correctamente y, en
determinados servidores, el gusano continua arrancando threads hasta el
agotamiento total de los recursos del sistema, provocando el cuelgue de la
máquina.

Según los informes publicados por eEye Digital Security, en estos momentos
(18-07-01) el número de máquinas infectadas a nivel Internet se calcula en
unas 5.000, que van analizando otras máquinas para determinar si son
vulnerables e instalar el gusano. Esta actividad está ya generando un
importante volumen de tráfico entre las direcciones IP que aparecen al
principio de la relación pseudo-aleatoria de direcciones utilizada por el
gusano.

Para protegerse contra este gusano, debe instalarse la actualización
publicada por Microsoft. En el boletín de eEye se facilita un fragmento
del paquete de datos enviado por el gusano, de forma que pueda
configurarse un sistema de detección de intrusos para detectar la
actividad de este gusano.

Más información:

Boletín de eEye Digital Security:
http://www.eeye.com/html/Research/Advisories/AL20010717.html
http://www.quands.com/alertes/html/code_red.html (versión en catalán)

Una al día (18-06-01): Grave desbordamiento de bufer en todas las
versiones de IIS:
http://www.hispasec.com/unaaldia.asp?id=967

Boletín de Microsoft (MS01-33):
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-033.asp

Parche para Windows NT 4:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833

Parche para Windows 2000 (Professional, Server y Advanced Server):
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800




Xavier Caballe
xcaballe@quands.com