Usando assinaturas de série personalizada de verificação de repetição do Cisco Secure IDS/NetRanger para excesso de buffer remoto de worm “de código vermelho” na extensão ISAPI do indicador de servidor Microsoft em IIS 4.0 e 5.0

Introdução

Até o final de julho de 2003, a Computer Economics (uma organização independente de pesquisa de Carlsbad, CA) estima que o worm “Code Red” tenha custado às empresas US$ 1,2 bilhão para recuperação dos danos na rede e em perda de produtividade. Essa estimativa aumentou significativamente com o lançamento subsequente do worm "Code Red II", que é mais potente. O Cisco Secure Intrusion Detection System (IDS), um componente-chave do Cisco SAFE Blueprint, tem se mostrado de grande utilidade na detecção e redução dos riscos de segurança de rede, incluindo o worm "Code Red" (Código Vermelho).

Este documento descreve uma atualização de software para detectar o método de exploração usado pelo worm "Código Vermelho" (consulte Assinatura 2, a seguir).

Você pode criar as assinaturas de correspondência de cadeia de caracteres personalizada mostradas abaixo para capturar a exploração de um estouro de buffer para servidores Web que executam o Microsoft Windows NT e os Serviços de Informações da Internet (IIS) 4.0 ou Windows 2000 e IIS 5.0. Observe também que o serviço de indexação no Windows XP Beta também é vulnerável. O aviso de segurança que descreve essa vulnerabilidade está em http://www.eeye.com/html/Research/Advisories/AD20010618.html. A Microsoft lançou um patch para essa vulnerabilidade que pode ser baixado de http://www.microsoft.com/technet/security/bulletin/MS01-033.mspx.

As assinaturas discutidas neste documento foram disponibilizadas na versão de atualização de assinatura S(5). A Cisco Systems recomenda que os sensores sejam atualizados para a atualização de assinatura 2.2.1.8 ou 2.5(1)S3 antes de implementar essa assinatura. Os usuários registrados podem baixar essas atualizações de assinatura do Cisco Secure Software Center. Todos os usuários podem entrar em contato com o Suporte Técnico da Cisco por e-mail e telefone usando os contatos mundiais da Cisco.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nas seguintes versões de software:

• Microsoft Windows NT e IIS 4.0

• Microsoft Windows 2000 e IIS 5.0

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Conventions

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Assinaturas de série personalizadas de verificação de repetição

Há duas assinaturas de correspondência de cadeia de caracteres personalizada específicas para resolver esse problema. Cada assinatura é descrita abaixo e as configurações aplicáveis do produto são fornecidas.

Assinatura 1 — Acesso ao indicador do servidor com tentativa de exploração

Essa assinatura aciona uma tentativa de sobrefluxo de buffer na Extensão ISAPI do Serviço de Indexação combinada com uma tentativa de passar o código shell para o servidor a fim de obter acesso privilegiado na forma original do código. A assinatura é lançada apenas na tentativa de passar código shell para o serviço de destino ao se tentar obter acesso integral de nível de SISTEMA. Um possível problema é que a assinatura não será lançada se o atacante não tentar passar qualquer tipo de código shell e só executar o excesso de buffer contra o serviço em uma tentativa de travar o IIS e criar uma recusa de serviço.

Série

[Gg][Ee][Tt].*[.][Ii][Dd][Aa][\x00-\x7f]+[\x80-\xff]

Configurações do produto

• Ocorrências: 1

• Porta: 80

Observação: se você tiver servidores Web escutando em outras portas TCP (por exemplo, 8080), precisará criar uma correspondência de cadeia de caracteres personalizada separada para cada número de porta.

• Nível de severidade do alarme recomendado:

  • Alto (Cisco Secure Policy Manager)

  • 5 (Unix Director)

• Direção:

  PARA

Assinatura 2 — Worm "Código vermelho" de estouro do buffer de acesso do servidor de índice

A segunda assinatura é acionada em uma tentativa de estouro de buffer na Extensão ISAPI do Servidor de Indexação combinada com uma tentativa de passar o código shell para o servidor para obter acesso privilegiado na forma ofuscada que o worm "Código Vermelho" usa. Essa assinatura é acionada somente na tentativa de passar o código shell para o serviço de destino em uma tentativa de obter acesso total em nível de SISTEMA. Um possível problema é que a assinatura não será lançada se o atacante não tentar passar qualquer tipo de código shell e só executar o excesso de buffer contra o serviço em uma tentativa de travar o IIS e criar uma recusa de serviço.

Série

[/]default[.]ida[?][a-zA-Z0-9]+%u

Observação: não há espaços em branco na sequência de caracteres acima.

Configurações do produto

• Ocorrências: 1

• Porta: 80

Observação: se você tiver servidores Web escutando em outras portas TCP (por exemplo, 8080), precisará criar uma correspondência de cadeia de caracteres personalizada separada para cada número de porta.

• Nível de severidade do alarme recomendado:

  • Alto (Cisco Secure Policy Manager)

  • 5 (Unix Director)

• Direção:

  PARA

Para obter mais informações sobre o Cisco Secure IDS, consulte Cisco Secure Intrusion Detection.

Informações Relacionadas

• Suporte Técnico - Roteadores
• Consultivos de segurança Cisco
• Página de suporte do Cisco Secure Intrusion Detection
• Suporte Técnico - Cisco Systems