Passer au contenu

Code Red, le ver de vos vacances

Pas moins de trois versions du ver Code Red ont défrayé les chroniques sécuritaires de l’été. Sa cible : IIS pour Windows NT et Windows 2000. Les ravages seraient déjà estimés à près de 2 milliards de dollars.

Et 1, et 2, et 3… Non, ce n’est pas un remake de la finale de la Coupe du monde de football, mais le nombre de variantes déjà identifiées d’un ver connu sous le nom de Code Red, dont on a d’abord pensé qu’il provenait de Chine.

Un dépassement de mémoire tampon

Un battage médiatique important a très vite éclaté autour de ce code malicieux. Il s’appuie sur un dépassement de mémoire tampon découvert par la société eEye Digital Security, en juin dernier. Le Cert a alors émis une première alerte, suivie d’une autre le 19 juillet (Cert Advisory CA-2001-19 ” Code Red ” Worm Exploiting Buffer Overflow In ISS Indexing Service DLL), date à laquelle Code Red exploite une vulnérabilité connue d’Internet Information Server (IIS) pour Windows NT et Windows 2000. Microsoft publie à chaque fois un correctif. Les routeurs DSL de la série 600, de Cisco, CallManager, Unity Server, uOne, ICS7750 et Building Broadband Service Manager non mis à jour sont aussi touchés.Bien que l’antidote existât avant la contamination, plus de 250 000 systèmes ont été infectés, neuf heures à peine après l’éclosion de Code Red. Au total, près de 6 millions de systèmes sont potentiellement attaquables. Les dégâts se chiffrent déjà à près de 2 milliards de dollars, et pourraient, selon certains, atteindre à terme 8,2 milliards. Une performance à rapprocher de celle de I Love You, qui avait coûté 8,5 milliards de dollars.Du 1er au 19 juillet, le ver se répand un peu partout. À partir du 20, il attaque le site gouvernemental américain de la Maison-Blanche par un déni de service distribué (DDoS). L’attaque a été facilement contrée par un simple changement des adresses IP des serveurs. Microsoft lui-même a admis s’être laissé piégé sur des serveurs de messagerie Hotmail non mis à jour. La firme a déclaré vouloir réfléchir à des possibilités de mises à jour plus abouties. En attendant, les effets de Code Red n’ont heureusement pas été cataclysmiques…Code Red II, lui, aurait été revendiqué par des hackers néerlandais du groupe 29a auprès du BSI (Bundesamt für Sicherheit in der Informationstechnik) à Bonn, l’office fédéral allemand chargé de la sécurité dans les techniques d’information. Cette affirmation ne peut cependant être confirmée. D’aucuns pensent à un éventuel artifice visant à brouiller les pistes. Code Red II est un code malicieux bien plus dangereux que son aîné. Le finlandais F-Secure indique que le programme se répand six fois plus vite. Mais, surtout, cette deuxième version installe un cheval de Troie qui crée une porte dérobée permettant au pirate de prendre le contrôle complet du système.

Des versions mutantes attendues

Anecdote : Code Red II a été conçu pour se répandre de manière plus agressive en Chine que partout ailleurs. Selon la société ISS (Internet Security Systems), il ne poursuivra pas son activité en 2002 (la propagation du ver s’appuyant sur la date système). Enfin, Code Red III a vu le jour en Corée du Sud. Il attaque jusqu’à quarante-huit heures durant si la langue système est chinoise. En sus d’une porte dérobée, il altère des fichiers système. Nombre d’experts s’attendent, par ailleurs, à l’arrivée d’autres versions mutantes.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Olivier Ménager