CERTA-2001-ALE-010

Vulnerability from certfr_alerte - Published: - Updated:

Un nouveau ver se propage en exploitant des vulnérabilités connues du serveur IIS.

Description

Le ver Code Blue s'attaque aux serveurs sous Windows NT et 2000. Il utilise plusieurs vulnérabilités d'IIS, dont les bugs « unicode ».

Il installe un fichier nommé « SvcHost.EXE » qui est relancé à chaque démarrage grâce à une entrée dans la base de registre : «

 HKLM\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

».

Le ver génère de nombreux « threads » provoquant ainsi un ralentissement de la machine voire un épuisement des ressources pouvant aller jusqu'au blocage.

Il crée un script VBS « C:.vbs » qui, une fois lancé, stoppe tous les services « .ida, .idq et .printer » d'IIS.

Il tente également de recopier ou télécharger le fichier « httpext.dll » vers les répertoires : « c: » ou «

 c:\inetpub\scripts\

».

Il provoque un déni de service en visitant régulièrement l'adresse IP « 211.99.196.135 ».

Contournement provisoire

Nettoyer l'entrée dans la base de registre.

Rechercher la DLL « httpext.dll » et la renommer en « httpext.dll.old » par exemple.

Filtrer en bordure de domaine les connexions vers l'adresse « 211.99.196.135 ».

Solution

Télécharger le correctif concernant votre version d'IIS :

  • IIS version 4.0 :

    http://www.microsoft.com/Downloads/release.asp?ReleaseID=23667

  • IIS version 5.0 :

    http://www.microsoft.com/Downloads/release.asp?ReleaseID=23665

Tous les systèmes avec des versions 4.0 et 5.0 de IIS sur lesquels les correctifs indiqués dans l'avis CERTA-2000-AVI-028 n'ont pas été appliqués.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eTous les syst\u00e8mes avec des versions 4.0 et 5.0 de IIS sur  lesquels les correctifs indiqu\u00e9s dans l\u0027avis CERTA-2000-AVI-028  n\u0027ont pas \u00e9t\u00e9 appliqu\u00e9s.\u003c/P\u003e",
  "closed_at": "2001-09-07",
  "content": "## Description\n\nLe ver Code Blue s\u0027attaque aux serveurs sous Windows NT et 2000. Il\nutilise plusieurs vuln\u00e9rabilit\u00e9s d\u0027IIS, dont les bugs \u00ab unicode \u00bb.\n\nIl installe un fichier nomm\u00e9 \u00ab SvcHost.EXE \u00bb qui est relanc\u00e9 \u00e0 chaque\nd\u00e9marrage gr\u00e2ce \u00e0 une entr\u00e9e dans la base de registre : \u00ab\n\n     HKLM\\MICROSOFT\\WINDOWS\\CURRENTVERSION\\RUN\n\n\u00bb.\n\nLe ver g\u00e9n\u00e8re de nombreux \u00ab threads \u00bb provoquant ainsi un ralentissement\nde la machine voire un \u00e9puisement des ressources pouvant aller jusqu\u0027au\nblocage.\n\nIl cr\u00e9e un script VBS \u00ab C:.vbs \u00bb qui, une fois lanc\u00e9, stoppe tous les\nservices \u00ab .ida, .idq et .printer \u00bb d\u0027IIS.\n\nIl tente \u00e9galement de recopier ou t\u00e9l\u00e9charger le fichier \u00ab httpext.dll \u00bb\nvers les r\u00e9pertoires : \u00ab c: \u00bb ou \u00ab\n\n     c:\\inetpub\\scripts\\\n\n\u00bb.\n\nIl provoque un d\u00e9ni de service en visitant r\u00e9guli\u00e8rement l\u0027adresse IP \u00ab\n211.99.196.135 \u00bb.\n\n## Contournement provisoire\n\nNettoyer l\u0027entr\u00e9e dans la base de registre.\n\nRechercher la DLL \u00ab httpext.dll \u00bb et la renommer en \u00ab httpext.dll.old \u00bb\npar exemple.\n\nFiltrer en bordure de domaine les connexions vers l\u0027adresse \u00ab\n211.99.196.135 \u00bb.\n\n## Solution\n\nT\u00e9l\u00e9charger le correctif concernant votre version d\u0027IIS :\n\n-   IIS version 4.0 :\n\n        http://www.microsoft.com/Downloads/release.asp?ReleaseID=23667\n\n-   IIS version 5.0 :\n\n        http://www.microsoft.com/Downloads/release.asp?ReleaseID=23665\n",
  "cves": [],
  "links": [
    {
      "title": "Avis du CERTA (CERTA-2000-AVI-028 du 16 ao\u00fbt 2000):",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2000-AVI-028/index.html"
    }
  ],
  "reference": "CERTA-2001-ALE-010",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-09-07T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Compromission des serveurs iis et risque de d\u00e9ni de service"
    }
  ],
  "summary": "Un nouveau ver se propage en exploitant des vuln\u00e9rabilit\u00e9s connues du\nserveur IIS.\n",
  "title": "Propagation du ver \"Code Blue\"",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "FIRST",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.