Code Red (computerworm)

Misbruik gemaakt van kwetsbaarheidEdit

De worm maakte gebruik van een kwetsbaarheid in de groeisoftware die met IIS werd gedistribueerd en die werd beschreven in Microsoft Security Bulletin MS01-033, waarvoor een maand eerder een patch beschikbaar was gesteld.

De worm verspreidde zichzelf door gebruik te maken van een veelvoorkomend type kwetsbaarheid dat bekend staat als een bufferoverloop. Hij deed dit door een lange reeks van de herhaalde letter ‘N’ te gebruiken om een buffer te overlopen, waardoor de worm willekeurige code kon uitvoeren en de machine met de worm kon infecteren. Kenneth D. Eichman ontdekte als eerste hoe de worm te blokkeren was, en werd voor zijn ontdekking uitgenodigd op het Witte Huis.

Worm payloadEdit

De payload van de worm omvatte:

  • De getroffen website defacen om weer te geven:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
  • Andere activiteiten op basis van de dag van de maand:
    • Dagen 1-19: Proberen zichzelf te verspreiden door meer IIS-servers op internet te zoeken.
    • Dagen 20-27: Denial of Service-aanvallen uitvoeren op verschillende vaste IP-adressen. Het IP-adres van de webserver van het Witte Huis was daar een van.
    • Dagen 28-eind van de maand: Slaapt, geen actieve aanvallen.

Tijdens het scannen naar kwetsbare machines testte de worm niet of de server op een andere machine een kwetsbare versie van IIS draaide, of zelfs of er überhaupt IIS op draaide. Apache toegangs logs uit die tijd hadden vaak entries zoals deze:

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

De payload van de worm is de string achter de laatste ‘N’. Door een buffer overflow, interpreteerde een kwetsbare host deze string als computer instructies, waardoor de worm zich verspreidde.

Plaats een reactie