VSantivirus No. 978 - Año 7 - Miércoles 12 de marzo de 2003
Evitar virus de propagación masiva en servidores IIS
http://www.vsantivirus.com/dfm-virus-iis.htm
Por David Fernández Madrid
idoru@videosoft.net.uy
Tras el anuncio de un fallo de seguridad en el servidor web IIS de Microsoft, el proceso lógico es que se publique o bien un exploit que aproveche ese fallo o bien un gusano. Gusanos como CodeRed o CodeBlue son capaces de infectar muchas máquinas en poco tiempo. Su rutina de infección es parecida:
- Generar direcciones IP al azar (con funciones del API como GetTickCount)
- Conectar con el IIS de la IP
- Ejecutar el exploit
Si observáramos las peticiones que hace una computadora infectada por CodeRed a otra intentando ejecutar el exploit veríamos algo así:
GET /a.ida?X=[..SHELLCODE..DIRECCION DE RETORNO] HTTP/1.0
Host : 192.167.0.2
Si las comparamos con las que hace un navegador normal al acceder al mismo servidor veríamos esto:
GET /a.ida HTTP/1.0
Host : server.com
Notemos que como el navegador hace una consulta por nombre incluye en los datos HTTP el nombre del servidor en vez de la IP. IIS se puede configurar para que sólo acepte peticiones por nombre, no numéricas, por lo tanto puede ser un buen método para rechazar peticiones HTTP realizadas por robots o gusanos, ya que estos siempre trabajan con IPs numéricas, no con nombres.
Por supuesto la primera medida ante la aparición de un exploit o de un gusano es parchear el servidor pero esto puede suponer una protección añadida contra futuras amenazas.
Referencias:
http://www.iisanswers.com/articles/hinders_rant.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
