Code Rouge (ver informatique) - Code Red (computer worm)

Ver rouge .ida Code
Site Web défiguré par Code Red worm.png
Un site Web défiguré par le ver.
Nom commun Code rouge
Nom technique CRv et CRvII
Taper Ver de brouillage du serveur
Isolation 15 juillet 2001

Code Red était un ver informatique observé sur Internet le 15 juillet 2001. Il attaquait des ordinateurs exécutant le serveur Web IIS de Microsoft . Il s'agissait de la première attaque de menaces mixtes à grande échelle à cibler avec succès les réseaux d'entreprise.

Le ver Code Red a été découvert et étudié pour la première fois par les employés d'eEye Digital Security, Marc Maiffret et Ryan Permeh, lorsqu'il a exploité une vulnérabilité découverte par Riley Hassell. Ils l'ont nommé "Code Red" parce que Mountain Dew Code Red était ce qu'ils buvaient à l'époque.

Bien que le ver ait été lancé le 13 juillet, le plus grand groupe d'ordinateurs infectés a été détecté le 19 juillet 2001. Ce jour-là, le nombre d'hôtes infectés a atteint 359 000.

Concept

Vulnérabilité exploitée

Le ver présentait une vulnérabilité dans le logiciel en pleine croissance distribué avec IIS, décrit dans le bulletin de sécurité Microsoft MS01-033, pour lequel un correctif était disponible un mois plus tôt.

Le ver s'est propagé à l'aide d'un type courant de vulnérabilité appelé débordement de tampon . Pour ce faire, il a utilisé une longue chaîne de la lettre répétée 'N' pour faire déborder un tampon, permettant au ver d'exécuter du code arbitraire et d'infecter la machine avec le ver. Kenneth D. Eichman a été le premier à découvrir comment le bloquer, et a été invité à la Maison Blanche pour sa découverte.

Une bouteille de Mountain Dew Code Red, qui a donné son nom au ver.

Charge utile du ver

La charge utile du ver comprenait :

  • Dégrader le site Web concerné pour afficher :
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
  • Autres activités selon le jour du mois :
    • Jours 1 à 19 : essai de se répandre en recherchant plus de serveurs IIS sur Internet.
    • Jours 20-27 : Lancer des attaques par déni de service sur plusieurs adresses IP fixes . L'adresse IP du serveur Web de la Maison Blanche faisait partie de celles-ci.
    • Jours 28 à la fin du mois : sommeil, pas d'attaques actives.

Lors de l'analyse des machines vulnérables, le ver n'a pas testé pour voir si le serveur exécuté sur une machine distante exécutait une version vulnérable d'IIS, ou même pour voir s'il exécutait IIS du tout. Les journaux d'accès Apache de cette époque comportaient fréquemment des entrées telles que celles-ci : 

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNN
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801
%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3
%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0

La charge utile du ver est la chaîne qui suit le dernier « N ». En raison d'un débordement de tampon, un hôte vulnérable a interprété cette chaîne comme des instructions informatiques, propageant le ver.

Vers similaires

Article principal : Code Rouge II

Le 4 août 2001, Code Red II est apparu. Bien qu'il utilisait le même vecteur d'injection, il avait une charge utile complètement différente . Il a choisi de manière pseudo-aléatoire des cibles sur le même sous-réseau ou sur des sous-réseaux différents que les machines infectées selon une distribution de probabilité fixe, favorisant le plus souvent les cibles sur son propre sous-réseau. De plus, il utilisait le modèle de répétition des caractères « X » au lieu des caractères « N » pour déborder le tampon.

eEye croyait que le ver était originaire de Makati , aux Philippines , la même origine que le ver VBS/Loveletter (alias "ILOVEYOU").

Voir également

Les références

Liens externes