Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 37 reacties
Bron: ZDNet

ZDNet brengt ons ervan op de hoogte dat de Code Red worm die zo'n anderhalve week geleden een groot aantal servers platlegde, over een paar dagen opnieuw grote chaos zal veroorzaken. Het virus verspreidde zich via een fout in Microsoft's Internet Information Service, en besmette op deze manier zo'n 280.000 systemen. Het uiteindelijke doel was een massale aanval op de website van het Witte Huis, maar dit kon nog net voorkomen worden.

Experts verwachten dat de worm op het moment dat de maand augustus begint weer toe zal slaan. Waarom dit precies gedacht wordt, vermeldt het artikel niet. Het is in ieder geval dus belangrijk om er nu voor te zorgen dat echt alle servers gepatcht zijn, om te voorkomen dat er weer een enorme hoeveelheid schade geleden wordt. Het zal mij benieuwen hoeveel systeembeheerders nog steeds de oude versie draaien:

Code RedAnti-virus experts are warning that when the system clocks roll over to next month, the Code Red worm will quickly propagate itself and compromise all vulnerable systems by 2 August. The US-based computer security warning organization Cert said in an alert today that widespread denial of service attacks will hit unpatched servers using versions of Microsoft's Internet Information Server (IIS) software within 18 hours.

Microsoft is urging system administrators to patch the hole before the second wave of programmed attacks occurs. "This is certainly the future for viruses--people are now more aware that if they receive an executable attachment they should not click on it," said Read. "The way forward is now viruses that replicate themselves through poorly administered servers."

Wij danken DiNo! voor de tip.

Moderatie-faq Wijzig weergave

Reacties (37)

Waarom denk je dat je er niks over kunt vinden dan?
Een hoax zou tenslotte uitgebreid besproken zijn.
Kan me goed voorstellen dat zoiets uitdrukkelijk dood word gezwegen om MS niet zwaar in verlegenheid te brengen.

Code Red gebruikt een stukje voor het opbouwen van een trusted connectie tussen IIS Servers. Anders zou de worm een scan op IP moeten doen met een Get Head om uit te vinden of ie een IIS server aan treft en dan nog de mogelijkheid hebben om de server te infecteren. Lijkt me toch dat er iets van een trust moet zijn dan.

* 786562 zeedog

Ik heb het in ieder geval uit een bijzonder betrouwbare bron. It's only for your info.
Nee, de 'code Red' worm heb ik zelf ook gedisassembleerd, omdat ik die worm wel interresant vind.

Wat die worm doet is heel simpel een buffer laten overflowen met een boel troep, en daarna zijn eigen code er achteraan sturen, die dan geheugen overschrijft op de server en uitgevoerd wordt. Komt geen trust bij kijken en de worm gebruikt geen functies die ook maar in de buurt komen van certificaten/private keys. Als dat wel zo was dan mochten ze willen dat ze het konden doodzwijgen, want dan kan iedere boerenlul met een disassembler en/of debugger en een beetje kennis van assembler zien dat ie dat doet.

En het vervelende is nou juist dat de worm niet checked of het een IIS server is of Apache ofzo, daarom hebben heel veel Apache admins ook hun log volstaan met die GETs.

Dat die worm certificaten van MS gebruikt is complete bullshit, en ook al is jouw bron Bill Gates zelf, ik kan het met mijn eigen ogen zien aan de disassembly.

Als iemand die disassembly (met commentaar/uitleg) wil bekijken, download dan dit bestand: http://www.eeye.com/html/advisories/codered.z ip

Dat bestand komt van eEye Digital Security die de worm ontdekt hebben.

Dit is BTW de GET:

"GET /default.ida?[een enorme hoeveelheid N-en]%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a"

Die "N"-en zijn om de buffer te vullen, alles wat daarna komt schrijft geheugen over op de server en is de code van de worm. Het versturen van deze GET met telnet naar een ongepatchte server is genoeg voor een infectie.

(sorry voor de layout fuckup)

[edited by AntonT]
beter even een linkje plaatsen naar pagina'tje met de GET
of wat enters ertussendoor...
zoals ik al hierboven ook al zei, die sleutel is teruggetrokken, en je moet wel een heel idiote admin zijn om de waarschuwing, die je krijgt als je iets probeert te runnen wat getekend is met een teruggetrokken certificaat, te negeren.
En btw, er zijn meerdere organisaties die zich met dit soort dingen bezig houden, en claimen onafhankelijk te zijn. Die zijn echt niet allemaal onder invloed van MS.
Zelfs MS zou zo'n stunt niet flikken, want dan is het imago van dat bedrijf helemaal naar de kloten.
Dus...
Het gaat hier volgens mij om het valse certificaat wat toen bij verisign door iemand is aangevraagd

edit:

Hoezo overbodig? Er is in deze thread nogal wat onduidelijkheid over dat certificaat
dit kan een hoax zijn, maar toch ook een extra zetje om alle sysadmins te laten patchen ..
http://www.cert.org/advisories/CA-2001-19.html:
Other worm activity on a compromised machine is time senstive; different activity occurs based on the date (day of the month) of the system clock.


Day 1 - 19: The infected host will attempt to connect to TCP port 80 of randomly chosen IP addresses in order to further propagate the worm.
Day 20 - 27: A packet-flooding denial of service attack will be launched against a particular fixed IP address
Day 28 - end of the month: The worm "sleeps"; no active connections or denial of service
Hieruit maak ik op dat het dus een maandelijks terugkerend geintje is/wordt!
Dan gaat de aanval de wereld rond aan het begin en het eind van de 'aanval'. Dat zou nog wel eens een interessante dag kunnen gaan worden......je troepen verdelen in tijdzones......
dit kan een hoax zijn, maar toch ook een extra zetje om alle sysadmins te laten patchen ..
Dit is onzin. Code Red is geen hoax, en die fout zit er inderdaad in. Die massale aanval op het witte huis kon voorkomen worden door de site te verplaatsen naar een ander ip (d8 ik?)
Met hoax bedoelt markvt dat de datum 1 augustus een hoax is, niet dat Code Red een hoax is.
Voor zover ik het nu zo snel kan zien, let de worm alleen op welke dag van de maand het is:

dag 1..20 : deface website (Welcome to http://www.worm.com!, Hacked By Chinese!) en gebruik .ida bug om te verspreiden.
dag 20..28 : val www.whitehouse.gov aan.

Aangezien er niet wordt gechecked op maand, begint het hele zaakje elke maand weer van voor af aan.

Edit: dit alleen maar trouwens als er een nieuwe infectie is!! alle oude infecties blijven slapen.
Dit bedoelt markvt:

Het is een hoax om die admins nou eens hun machines te laten patchen.
Als het een hoax is zou het niet slecht zijn. Patchen ze mischien eindelijk al die 300.000 servers eens. Dit zal het online zaken doen geen goed doen.

Het consumenten vertrouwen zal door dit soort nieuws niet echt omhoog gaan ik zal sneller eens kijken op welk os en http server men draait
Ik denk wel dat ie weer aktief wordt, maar ik vermoed dat de schade maar een fractie zal zijn van de eerste aanval. Immers van de 280.000 aangevallen servers zullen mischien nog maar 10.000 besmet zijn. Daarnaast zullen zeer veel nog niet besmette microsoft webservers gepatched zijn. (apache servers zijn niet gevoelig voor dit virus).
Ik zou daar maar niet teveel op rekenen. Eind vorige week waren er nog ontstellend veel beheerders die niets hadden gedaan/ Eigenlijk wel een beetje jammer.

Dus beheerders:

Installeer de patch:
http://www.microsoft.com/technet/security/bulletin/M S01-033.asp

En overige patches die dan vaak ook niet aanwezig zijn:
http://www.microsoft.com/technet/security/bulletin/M S01-026.asp
http://www.microsoft.com/technet/security/bulletin/M S01-023.asp

En SP2 natuurlijk

en haal dan gelijk even de .ida, .idc, idq en .printer mappings weg


En denk nou niet dat je als thuisgebruiker veilig bent. Default staat IIS meestal aan op al die serverinstallaties.
Leuk detail, de Code Red Worm maakt gebruik van de gestolen privat keys van MS.

Als je de patch op IIS gedraaid hebt die een tijdje geleden al uit kwam ná de vermeende diefstal van de privat keys dan had je nu ook geen last van de Code Red worm gehad.
Niet dat ik je niet geloof of zo, maar waar heb je dat vandaan?
Op http://www.securityfocus.com kon 'k nx vinden
Het is helemaal niet 'waarschijnlijk'. De 'code Red' worm is gedisassembleerd, en je kan dan precies zien wat ie wel en wat ie niet doet.

Verder zijn er meerdere versies van de 'code Red' worm in de omloop, iig eentje die niet defaced:

http://www.cert.org/advisories/CA-2001-23.html

Verder is dat van die MS private keys gewoon een hoax, want ik kan er op de website van eEye en van CERT niets over vinden.

Als je de disassembly van eEye bekijkt doet ie ook helemaal niets met keys, laat staan private keys van MS.

Nog een quote over het verspreiden:

"Our analysis estimates that starting with a single infected host, the time required to infect all vulnerable IIS servers with this worm could be less than 18 hours. Since the worm is programmed to continue propagating for the first 19 days of the month, widespread denial of service may result due to heavy scan traffic." (zie URL boven voor grafiek en volledige verhaal)
Zou het niet handig zijn als webservers zichzelf updaten? Dan was dit nooit voorgekomen.
hmm... een enge gedachte ..
2 redenen:
-1- stel je voor dat win2k zich automatisch kon opwaarderen via de service patches.. dan had je een moment kunnen hebben dat je systeem het niet meer zou doen (enkele sp's brachten meer ellende dan bug-fixes namelijk..)
-2- een www-server is iets wat je pas kan 'bekijken' door met een browser naar toe te gaan.. Stel je voor dat deze mensen een manier vinden om zich voor te doen als een 'officiele' patch (Ze hebben al de MS-keys). -> in een keer alle servers (van dat type/model/versie) besmet. Terwijl jij op zich wel alle voorzorgsmaatregelen had genomen.

Nee, geef mij maar een goede/alerte systeem-/netwerkbeheerder dan 10 'slimme' softwarepaketten.
oke, die sleutel is al 'revoked' door de certificaat server.
Over dat automatisch updaten. Lijkt me idd geen strak plan. Ook om de reden die jij geeft, maar nog belangrijker, omdat je waarschijnlijk eerst wel wil zien of de patch geen vreemde gevolgen heeft, dus je gaat eerst testen in een, duhhh, testomgeving. MS kan niet elke mogelijke combinatie van hard- en software testen, dus regelmatig dat er wel wat wazigs gebeurdt bij het installeren van een patch.
Wat was het topic ook al weer? Oh ja, Code Red :Y)
eXcuse moi
Ja, dan hoef je nog maar 1 website te hacken!! (Die van Microsoft). Perfect, 1 site hacken en dan komen de slachtoffers zelf het virus ophalen ;-)
Automatisch lijkt me een beetje link , maar om het heel makkelijk te maken is wel een goed idee (apt-get update && apt-get upgrade :P )
Ik vind dat er wel heel erg vaak op beheerders wordt afgegeven.
Vergeet niet dat een gem. systeembeheerder van een gem toko meer te doen heeft dan de hele dag op de MS site kijken of er ook patches zijn.
Neem een standaard toko van 250 man: firewall, proxy, router, server, switches etc etc....Dan komen er nog de dagelijkse storingen bij, projecten, aanvragen....etc etc...
Ik vind het dus niet zo vreemd dat een systeembeheerder niet altijd alle nieuwe patches van alle software heeft geinstalleerd.
Daarom krijg je ook netjes een email van microsoft als er een patch komt, dus zo veel extra tijd kost het niet om te weten of er een patch is, hem installeren kost even maar het kost nog altijd minder tijd dan het fixen nadat hij gehacked is.

Voorbeeld (van de specefieke patch)

The following is a Security Bulletin from the Microsoft Product Security
Notification Service.

Please do not reply to this message, as it was sent from an unattended
mailbox.
********************************

-----BEGIN PGP SIGNED MESSAGE-----

- ----------------------------------------------------------------------
Title: Unchecked Buffer in Index Server ISAPI Extension Could
Enable Web Server Compromise
Date: 18 June 2001
Software: Index Server 2.0 and Indexing Service
Impact: Run code of attacker's choice
Bulletin: MS01-033

Microsoft encourages customers to review the Security Bulletin at:
http://www.microsoft.com/technet/security/bul letin/M S01-033.asp.
<snip>


edit:

Voor mensen die willen weten waar je je moet aanmelden hiervoor:
http://www.microsoft.com/technet/treeview/default.as p?url=/technet/security/bulletin/notify.asp
Had die ook zijn doos een beetje kunnen securen. Had tie de patch niet eens nodig gehad.

Wim
Zit de code red bugfix niet in de nieuwe update ??

http://support.microsoft.com/support/kb/articles/q29 9/4/44.asp

Enne: idd, zoals vermeld in een van de bovengenoemde posts: auto update is wel handig ja, vooral met de vele windows bugs :)
Misschien even heel kort door de bocht maar wat BOEIT het nou dat de site van het witte huis het even niet meer doet. Net alsof daar ook maar iets van waarde opstaat. Ik bedoel het is natuurlijk wel even leuk om te zien dat het KAN maar het heeft verder geen waarde... Ze kunnen net zo goed een andere site lamleggen, alleen klinkt whitehouse indrukwekkender...
virus slaat trouwens niet 1 augustus maar een dag eerder toe.. (Bron: CERT)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True