Un nuevo gusano, .ida "Red Code", ataca a los servidores IIS
[19-07-01]
En las últimas horas se ha detectado un gran número de ataques contra servidores web utilizando la vulnerabilidad .IDA. Estos ataques son producidos por el gusano ida "Red Code".
El gusano, recientemente descrito por eEye Digital Security, ha mostrado una gran actividad y en los tres primeros días después de su descubrimiento, ya se han contabilizado más de cinco mil servidores infectados. Para atacar los servidores utiliza el desbordamiento de búfer existente en el filtro ISAPI de Microsoft Indexing Service. Esta vulnerabilidad permite a un atacante remoto ejecutar código arbitrario en el servidor con privilegios de SYSTEM, lo que le facilita un control absoluto de la máquina.
Para solucionar esta vulnerabilidad, publicada hace más de un mes y medio, Microsoft publicó un boletín (MS01-33) y un parche. Debido a la importancia de esta vulnerabilidad, la instalación del parche es realmente muy importante.
El gusano .ida "Red Code" tiene las siguientes características:
* Una vez infectada la máquina, arranca 100 threads que son utilizados para buscar otros servidores web vulnerables e infectarlos con el gusano.
* Modifica las páginas web existentes con el siguiente código:
charset=Englishó> HELLO!
Welcome to http://www.worm.com !
Hacked By Chinese!
El primer análisis al gusano nos permite describir brevemente su comportamiento: una vez infectada la máquina, arranca 100 threads con un bucle que analiza otras máquinas en vistas a infectarlas (excepto si existe un archivo denominado C:\NOTWORM, en cuyo caso la función de propagación queda anulada).
El gusano utiliza un sistema pseudo-aleatorio para determinar las direcciones IP a analizar. Este sistema hace que la secuencia de direcciones IP analizadas sea la misma en todos los servidores infectados. Como consecuencia, a medida que el número de máquinas comprometidas aumenta, las primeras direcciones analizadas se ven bombardeadas con una gran cantidad de tráfico, lo que puede provocar un ataque de denegación de servicio. Adicionalmente, el gusano tiene la capacidad de infectar varias veces la misma máquina, lo que puede provocar el agotamiento de los recursos.
Por lo que parece, el gusano impone un límite en el número de veces en que una misma máquina es infectado (en el entorno de laboratorio de eEye este número parece ser 3, aunque no se puede afirmar por el momento que este límite sea el mismo en cualquier circunstancia). No obstante, parece que este sistema de auto-limitación no funciona correctamente y, en determinados servidores, el gusano continua arrancando threads hasta el agotamiento total de los recursos del sistema, provocando el cuelgue de la máquina.
Según los informes publicados por eEye Digital Security, en estos momentos (18-07-01) el número de máquinas infectadas a nivel Internet se calcula en unas 5.000, que van analizando otras máquinas para determinar si son vulnerables e instalar el gusano. Esta actividad está ya generando un importante volumen de tráfico entre las direcciones IP que aparecen al principio de la relación pseudo-aleatoria de direcciones utilizada por el gusano.
Para protegerse contra este gusano, debe instalarse la actualización publicada por Microsoft. En el boletín de eEye se facilita un fragmento del paquete de datos enviado por el gusano, de forma que pueda configurarse un sistema de detección de intrusos para detectar la actividad de este gusano.
Más información:
Boletín de eEye Digital Security: http://www.eeye.com/html/Research/Advisories/AL20010717.html http://www.quands.com/alertes/html/code_red.html (versión en catalán)
Una al día (18-06-01): Grave desbordamiento de bufer en todas las versiones de IIS: http://www.hispasec.com/unaaldia.asp?id=967
Boletín de Microsoft (MS01-33): http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-033.asp
Parche para Windows NT 4: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833
Parche para Windows 2000 (Professional, Server y Advanced Server): http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800
Xavier Caballe xcaballe@quands.com
Artículos de actualidad ...
Archivo de artículos ...
|