Derecho informáticos derecho nuevas tecnologías
artículos estafas fraudes Servicio legal derecho informático nuevas tecnologías asesoría problemas legislación
Derecho informáticos derecho nuevas tecnologías
Derecho informáticos derecho nuevas tecnologías
 Artículos de Actualidad
  • Un nuevo gusano, .ida "Red Code", ataca a los servidores IIS [19-07-01]  

    En las últimas horas se ha detectado un gran número de ataques contra servidores web utilizando la vulnerabilidad .IDA. Estos ataques son producidos por el gusano ida "Red Code".

    El gusano, recientemente descrito por eEye Digital Security, ha mostrado una gran actividad y en los tres primeros días después de su
    descubrimiento, ya se han contabilizado más de cinco mil servidores infectados. Para atacar los servidores utiliza el desbordamiento de búfer existente en el filtro ISAPI de Microsoft Indexing Service. Esta
    vulnerabilidad permite a un atacante remoto ejecutar código arbitrario en el servidor con privilegios de SYSTEM, lo que le facilita un control absoluto de la máquina.

    Para solucionar esta vulnerabilidad, publicada hace más de un mes y medio, Microsoft publicó un boletín (MS01-33) y un parche. Debido a la
    importancia de esta vulnerabilidad, la instalación del parche es realmente muy importante.

    El gusano .ida "Red Code" tiene las siguientes características:

    * Una vez infectada la máquina, arranca 100 threads que son utilizados
    para buscar otros servidores web vulnerables e infectarlos con el gusano.

    * Modifica las páginas web existentes con el siguiente código:

    charset=Englishó>
    HELLO!

    Welcome to http://www.worm.com !


    Hacked By Chinese!


    El primer análisis al gusano nos permite describir brevemente su
    comportamiento: una vez infectada la máquina, arranca 100 threads con un bucle que analiza otras máquinas en vistas a infectarlas (excepto si existe un archivo denominado C:\NOTWORM, en cuyo caso la función de
    propagación queda anulada).

    El gusano utiliza un sistema pseudo-aleatorio para determinar las
    direcciones IP a analizar. Este sistema hace que la secuencia de direcciones IP analizadas sea la misma en todos los servidores infectados.
    Como consecuencia, a medida que el número de máquinas comprometidas
    aumenta, las primeras direcciones analizadas se ven bombardeadas con una gran cantidad de tráfico, lo que puede provocar un ataque de denegación de servicio. Adicionalmente, el gusano tiene la capacidad de infectar varias veces la misma máquina, lo que puede provocar el agotamiento de los recursos.

    Por lo que parece, el gusano impone un límite en el número de veces en que una misma máquina es infectado (en el entorno de laboratorio de eEye este número parece ser 3, aunque no se puede afirmar por el momento que este límite sea el mismo en cualquier circunstancia). No obstante, parece que este sistema de auto-limitación no funciona correctamente y, en determinados servidores, el gusano continua arrancando threads hasta el agotamiento total de los recursos del sistema, provocando el cuelgue de la máquina.

    Según los informes publicados por eEye Digital Security, en estos momentos (18-07-01) el número de máquinas infectadas a nivel Internet se calcula en unas 5.000, que van analizando otras máquinas para determinar si son vulnerables e instalar el gusano. Esta actividad está ya generando un importante volumen de tráfico entre las direcciones IP que aparecen al principio de la relación pseudo-aleatoria de direcciones utilizada por el gusano.

    Para protegerse contra este gusano, debe instalarse la actualización
    publicada por Microsoft. En el boletín de eEye se facilita un fragmento del paquete de datos enviado por el gusano, de forma que pueda configurarse un sistema de detección de intrusos para detectar la actividad de este gusano.

    Más información:

    Boletín de eEye Digital Security:
    http://www.eeye.com/html/Research/Advisories/AL20010717.html
    http://www.quands.com/alertes/html/code_red.html (versión en catalán)

    Una al día (18-06-01): Grave desbordamiento de bufer en todas las
    versiones de IIS:
    http://www.hispasec.com/unaaldia.asp?id=967

    Boletín de Microsoft (MS01-33):
    http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-033.asp

    Parche para Windows NT 4:
    http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833

    Parche para Windows 2000 (Professional, Server y Advanced Server):
    http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800


    Xavier Caballe
    xcaballe@quands.com


    Artículos de actualidad ...
    Archivo de artículos ...

    •  
    Campaña Stop Pedofilia
    Gratis Servicio de noticias
    Suscribir Borrado
    Tus Sugerencias son bienvenidas
    Pincha Aquí
    ¡¡Lista de correo!!
    Introduzca su correo:




    www.delitosinformaticos.com . mailto:webmaster@delitosinformaticos.com . Delitosinformáticos

    © Copyright 2000-2002 Delitosinformaticos.com -.