Donderdag was het zover, in de vroege avond begon een steeds sterker aanzwellende
stroom van scans, afkomstig van door de Core Red worm die gebruik maakt van een fout in de Microsoft IIS server, zich over
het internet te verspreiden. Sommige providers zagen meerdere pogingen per seconde afkomstig van verschillende machines. Op sommige netwerken was het aantal HTTP-aanvragen dat door de worm werd gegenereerd hoger dan het aantal legitieme aanvragen.

Ondanks de tekenen is er te laat gereageerd door instanties als NIPC, SANS en CERT.
Op 17 juli schreef Johannes Ulrich al op de Dshield mailinglist:


On 07/13 I detected 611 worm probes from 27 unique IP addresses.

On 07/14 I detected 36273 worm probes from 1076 unique IP addresses.

On 07/15 I detected 215020 worm probes from 3498 unique IP addresses.

On 07/16 I detected 316828 worm probes from 6137 unique IP addresses.

On 07/17, for just the first 7.5 hours, I have detected 108428 worm

probes from 4712 unique IP addresses.



Op woensdag was er een diepgaande analyse door het bedrijf eEye beschikbaar.

Een kleine berekening had al kunnen laten zien dat dit uit de hand ging lopen.
We mogen nog van geluk spreken dat de worm nog relatief onschadelijk was en
bovendien op sommige punten knullig geprogrammeerd. Zo was de geplande aanval op de site van het Witte Huis eenvoudig te vermijden omdat men het ip-nummer van deze site statisch in het programma had gezet. Bij de volgende zal dat misschien niet meer zo zijn en gaat het Internet misschien echt stuk. Er gaan al gewijzigde exemplaren van de worm over het net. De originele worm zal vanaf vandaag geen nieuwe machines meer besmetten, maar zich geheel richten op het aanvallen van de site van het Witte Huis. Vanaf de 1e van de volgende maand zal de worm weer gaan besmetten en begint het weer opnieuw.

Russ Cooper van de NTbugtraq beveiligingssite roept op tot een 'Secured IIS' project om 'alle IIS servers dicht te zetten'. Een prijzenswaardig initiatief, maar waar toch een sterk kalf en put smaakje aan zit. Men kan zich afvragen of mensen na maanden, zelfs jaren, waarschuwingen te hebben genegeerd nu ineens wel gaan luisteren.

Ook de media laten het vandaag afweten. Terwijl dit toch wel 1 van de grootste globale
worm-incidenten is die wij tot nu toe gezien hebben, zwijgt men in alle talen. Is het misschien te ingewikkeld?

En Microsoft? Geen woord van dit bedrijf tot nu toe, behalve de mededeling dat de winst weer gestegen was.

Voor degene die verder wil lezen nog wat links:

DE PATCH VOOR IIS Als je de scriptmappings voor .ida .idq en .idc verwijdert heb je ook nergens last van. Het is daarnaast niet zo verstandig op een publieke server iets anders dan engels te draaien, dat is de beste manier om een beetje bij te blijven.

CERT waarschuwing:
"Code Red" Worm Exploiting Buffer Overflow In IIS Indexing Service DLL

Archiefbeeld kraak Microsoft Windows Update site. (vertrouwt u de spullen die automatisch op uw pc worden geinstalleerd?)