======================================================================= Message du CERT-RENATER (certsvp@renater.fr) ======================================================================= Bonjour, Un nouveau ver Internet se repand en ce moment: le ver "Code Red" ou ver .ida. Sa cible: les serveurs web IIS (Microsoft Internet Information Services) presentant la particularite d'etre vulnerables a une attaque par debordement d'un espace memoire tampon du systeme (Buffer Overflow), vulnerabilite adressee dans l'avis suivant: http://www.cert.uhp-nancy.fr/avis.cfm?an=2001&type=VULN&file=184 Cette attaque permet au programme attaquant d'executer les operations de son choix sur le systeme cible. Serveurs vulnerables: --------------------- Serveurs Microsoft IIS avec Microsoft Index Server 2.0 ou Indexing Service sur Windows 2000 Quelques details concernant les actions efectuees par le ver: ------------------------------------------------------------- Au moyen d'une requete au serveur web IIS, le ver lance une attaque de type buffer overflow sur un composant logiciel permettant d'acceder au service Index Server/Indexing Service de Microsoft. Une fois la machine infectee, le ver lance une centaine de processus. Les 99 premiers processus servent a continuer la propagation du ver: Le ver cree une sequence d'adresses IP aleatoires: les adresses des systemes qu'il va ensuite essayer d'infecter a leur tour. Le 100eme processus cherche d'abord a determiner si le systeme infecte est une version americaine de Windows NT/2000: Si c'est le cas: La page d'accueil du site web local est remplacee par le message suivant: "Welcome to http://www.worm.com !, Hacked By Chinese!" . Le message disparaitra au bout de 10 heures, a moins que le serveur en question ne soit reinfecte par une autre source. Dans le cas contraire: le 100eme processus cherchera lui aussi a infecter d'autres serveurs. Tous les processus recherchent la presence du fichier c:\notworm. Si ce fichier existe, le ver s'endort; dans le cas contraire chaque processus continue d'essayer d'infecter de nouveaux systemes. Dans certaines plages horaires, le ver tente aussi de lancer des attaques sur le site www.whitehouse.gov La defense ----------- Appliquer le patch edite par Microsoft: MS01-033: "Unchecked Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise": http://www.microsoft.com/technet/security/bulletin/MS01-033.asp Pour de plus amples informations: -------------------------------- Nous reproduisons ci-dessous un article publie dans la liste de discussion Bugtraq qui contient une analyse plus poussee du ver "Code Red": *************************************************************************