Serangan Virus Code Red Worm di Internet

Pertanyaannya adalah – seberapa jauh effek serangan ini kepada Internet di Indonesia? Jawaban singkatnya adalah – karena sebagian besar sekali komunitas Internet di Indonesia hanyalah pengguna Internet biasa; maka serangan virus code red praktis tidak terlalu terasa di Indonesia.

Apakah itu virus code red worm? Code red worm termasuk serangan yang mengeksploitasi buffer overrun di software Web server. Penyerang yang berhasil mengeksplotasi kelemahan Web server ini akan bisa mengambil alih kontrol Web server yang di serangnya. Dengan cara ini, seorang penyerang dapat melakukan banyak hal, seperti mengganti halaman Web, memformat harddisk, menambahkan user baru ke group administrator lokal. Serangan ini hanya bisa terjadi jika ada komponen tertentu yang lemah yang ada di Server tersebut.

Dalam kasus code red worm, komponen tersebut adalah index servis. Lebih jelasnya virus code red worm kebetulan menyerang Web server yang di jalankan di Windows NT 4.0 atau Windows 2000; lebih spesifik-nya yang di serang oleh virus ini adalah Microsoft Index Server 2.0, Indexing Service di Windows 2000 & Windows XP beta yang merupakan bagian dari perangkat Microsoft IIS 4.0 & 5.0. Index Server 2.0 & Indexing Service adalah mesin pencari & pengindex full-text untuk digunakan dengan Windows NT 4.0 dan Windows 2000. Mesin pencari ini memungkinkan pengguna dengan Web browser mencari dokumen dengan cara memasukan keyword, kata-kata atau properti dokumen.

Spesifik program yang bermasalah / di serang adalah idq.dll yang merupakan bagian dari ISAPI (Internet Services Application Programming Interface) yang merupakan teknologi yang memungkinkan develoer Web mengembangkan fungsi dari IIS server. Kesalahan yang terjadi di idq.dll adalah adanya buffer yang tidak di check pada program yang menangani permintaan yang masuk. Akibatnya, jika ada permintaan yang tidak baik masuk, masalah buffer overrun akan terjadi, dengan dua (2) hasil utama:

• Jika permohonan ke idq.dll hanya berisi ramdom data, hal ini hanya akan menyebabkan server gagal bekerja saja. Jika IIS 4.0 digunakan, administrator cukup me-restart sistem saja. Jika IIS 5.0 digunakan maka Web server akan merestart diri sendiri.
• Jika permohonan idq.dll berisi perintah khusus yang dapat dijalankan di server. Si penyerang dapat menjalankan program dengan kekuasaan sebagai sistem administrator. Hal ini memungkinkan penyerang halaman web, konfigurasi ulang server dan menjalankan perintah sistem operasi lainnya.

Kelemahan ini dapat di eksploitasi jika sebuah hubungan komunikasi Web terjadi dengan server yang di serang. Bagi Server yang menggunakan Index Server / Index Servis yang bukan dari IIS tidak mempunyai masalah dengan red code worm. Contohnya pengguna Windows 2000 Profesional. Serangan juga tidak bisa terjadi jika script mapping untuk Internet Data Administration (.ida) dan Internet Data Query (.idq) tidak ada. Prosedur untuk menghilangkan mapping ini di jelaskan di IIS 4.0 & IIS 5.0 security checklist. Kebetulan mapping ini dapat dihilangkan secara automatis melalui High Security Template (IIS) atau Windows 2000 Internet Server Security Tool.

Patch (perbaikan) agar Index Servis tidak lagi menderita serangan dari code red worm dapat di ambil untuk Windows NT 4.0 di http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833 sedangkan untuk Windows 2000 Professional, Server & Advanced Server di http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800.

Sedangkan verifikasi instalasi perbaikan dapat dilihat dengan mudah melalui editor registry Windows, pada Windows NT 4.0 kunci registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Hotfix\Q300972. Sedang untuk Windows2000 dapat dilihat adanya registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows2000\SP3\Q300972. Untuk memverifikasi masing-masing file, gunakan tanggal/waktu dan informasi versi yang diberikan pada kunci registry berikut HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows2000\SP3\Q300972\Filelist.