Até o final de julho de 2003, a Computer Economics (uma organização independente de pesquisa de Carlsbad, CA) estima que o worm Code Red tenha custado às empresas US$ 1,2 bilhão para recuperação dos danos na rede e em perda de produtividade. Essa estimativa aumentou significativamente com o lançamento subsequente do worm "Code Red II", que é mais potente. O Cisco Secure Intrusion Detection System (IDS), um componente-chave do Cisco SAFE Blueprint, tem se mostrado de grande utilidade na detecção e redução dos riscos de segurança de rede, incluindo o worm "Code Red" (Código Vermelho).
Este documento descreve uma atualização de software para detectar o método de exploração usado pelo worm "Código Vermelho" (consulte Assinatura 2, a seguir).
Você pode criar as assinaturas de correspondência de cadeia de caracteres personalizada mostradas abaixo para capturar a exploração de um estouro de buffer para servidores Web que executam o Microsoft Windows NT e os Serviços de Informações da Internet (IIS) 4.0 ou Windows 2000 e IIS 5.0. Observe também que o serviço de indexação no Windows XP Beta também é vulnerável. O aviso de segurança que descreve essa vulnerabilidade está em http://www.eeye.com/html/Research/Advisories/AD20010618.html. A Microsoft lançou um patch para essa vulnerabilidade que pode ser baixado de http://www.microsoft.com/technet/security/bulletin/MS01-033.mspx.
As assinaturas discutidas neste documento foram disponibilizadas na versão de atualização de assinatura S(5). A Cisco Systems recomenda que os sensores sejam atualizados para a atualização de assinatura 2.2.1.8 ou 2.5(1)S3 antes de implementar essa assinatura. Os usuários registrados podem baixar essas atualizações de assinatura do Cisco Secure Software Center. Todos os usuários podem entrar em contato com o Suporte Técnico da Cisco por e-mail e telefone usando os contatos mundiais da Cisco.
Não existem requisitos específicos para este documento.
As informações neste documento são baseadas nas seguintes versões de software:
Microsoft Windows NT e IIS 4.0
Microsoft Windows 2000 e IIS 5.0
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.
Há duas assinaturas de correspondência de cadeia de caracteres personalizada específicas para resolver esse problema. Cada assinatura é descrita abaixo e as configurações aplicáveis do produto são fornecidas.
Essa assinatura aciona uma tentativa de sobrefluxo de buffer na Extensão ISAPI do Serviço de Indexação combinada com uma tentativa de passar o código shell para o servidor a fim de obter acesso privilegiado na forma original do código. A assinatura é lançada apenas na tentativa de passar código shell para o serviço de destino ao se tentar obter acesso integral de nível de SISTEMA. Um possível problema é que a assinatura não será lançada se o atacante não tentar passar qualquer tipo de código shell e só executar o excesso de buffer contra o serviço em uma tentativa de travar o IIS e criar uma recusa de serviço.
[Gg][Ee][Tt].*[.][Ii][Dd][Aa][\x00-\x7f]+[\x80-\xff]
Ocorrências: 1
Porta: 80
Observação: se você tiver servidores Web escutando em outras portas TCP (por exemplo, 8080), precisará criar uma correspondência de cadeia de caracteres personalizada separada para cada número de porta.
Nível de severidade do alarme recomendado:
Alto (Cisco Secure Policy Manager)
5 (Unix Director)
Direção:
PARA
A segunda assinatura é acionada em uma tentativa de estouro de buffer na Extensão ISAPI do Servidor de Indexação combinada com uma tentativa de passar o código shell para o servidor para obter acesso privilegiado na forma ofuscada que o worm "Código Vermelho" usa. Essa assinatura é acionada somente na tentativa de passar o código shell para o serviço de destino em uma tentativa de obter acesso total em nível de SISTEMA. Um possível problema é que a assinatura não será lançada se o atacante não tentar passar qualquer tipo de código shell e só executar o excesso de buffer contra o serviço em uma tentativa de travar o IIS e criar uma recusa de serviço.
[/]default[.]ida[?][a-zA-Z0-9]+%u
Observação: não há espaços em branco na sequência de caracteres acima.
Ocorrências: 1
Porta: 80
Observação: se você tiver servidores Web escutando em outras portas TCP (por exemplo, 8080), precisará criar uma correspondência de cadeia de caracteres personalizada separada para cada número de porta.
Nível de severidade do alarme recomendado:
Alto (Cisco Secure Policy Manager)
5 (Unix Director)
Direção:
PARA
Para obter mais informações sobre o Cisco Secure IDS, consulte Cisco Secure Intrusion Detection.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
10-Dec-2001 |
Versão inicial |