| |
 |
| Nach CodeRed jetzt CodeBlue |
|
|
Veröffentlicht durch maol am Mittwoch 12. September, 20:28
Aus der Regenbogen Abteilung
|
|
|
|
|
XTaran schreibt "Habe gerade durch unseren lokalen SysAdmin-Verteiler eine Warnung des DFN-CERT vor dem Wurm CodeBlue bekommen.
CodeBlue verbreitet sich wie CodeRed über den MS IIS, nutzt aber eine andere Schwachstelle als CodeRed. Symantec schreibt, daß sie bisher (Stand 7. 9.) noch keine Meldungen über CodeBlue in freier Wildbahn bekommen haben, während X-Force berichtet, man hätte ihn in freier Wildbahn entdeckt."
|
|
|
|
|
|
"Ebenfalls im Gegensatz zu CodeRed soll CodeBlue zuerst einen HEAD Request absetzen und testen, ob es sich bei dem Webserver um einen IIS handelt. Falls ja, setzt er einen GET-Request ab, der ungefähr wie folgt aussieht:
GET /..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\
Dabei sollen die URL-kodierten Zeichen variieren.
Auf einem unseren Apache-Server konnte ich zwei solche GET-Requests ausmachen, beide kamen von "T-Offline"-Nutzern. Allerdings sind diese Angriffe bereits Anfang August gewesen und es kamen davor keine passenden HEAD-Requests, d. h. ich gehe mal von einer frühen CodeBlue-Inkarnation oder von manuellen Versuchen aus, die Sicherheitslücke auszunutzen. Allerdings scheint mir beides recht unwahrscheinlich. :-/"
|
|
|
|
< Humanoider Roboter von Fujitsu | Druckausgabe | Die Welt spinnt > | |
|
