Verwenden von Cisco Secure IDS/NetRanger Custom String Match Signatures for "Code Red" Worm Remote Buffer Overflow in Microsoft Index Server ISAPI Extension in IIS 4.0 und 5.0

Download-Optionen

  • PDF     (123.9 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (101.0 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (87.7 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:24. Juni 2008
Dokument-ID:13870

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einführung

Ende Juli 2003 schätzte Computer Economics (ein unabhängiges Forschungsunternehmen in Carlsbad, Kalifornien), dass der Wurm "Code Red" Unternehmen 1,2 Milliarden US-Dollar (US-Dollar) für die Erholung von Netzwerkschäden und Produktivitätsverlusten gekostet hatte. Diese Schätzung stieg mit der anschließenden Freisetzung des stärkeren Wurms "Code Red II" signifikant an. Das Cisco Secure Intrusion Detection System (IDS), eine zentrale Komponente des Cisco SAFE Blueprint, hat gezeigt, wie wichtig es ist, Netzwerksicherheitsrisiken wie den "Code Red"-Wurm zu erkennen und zu minimieren.

Dieses Dokument beschreibt ein Software-Update, um die vom Wurm "Code Red" verwendete Ausnutzungsmethode zu erkennen (siehe Signatur 2 unten).

Sie können die unten gezeigten benutzerdefinierten Zeichenfolgenentsprechungssignaturen erstellen, um die Ausnutzung eines Pufferüberlaufs für Webserver mit Microsoft Windows NT und Internet Information Services (IIS) 4.0 oder Windows 2000 und IIS 5.0 abzufangen. Beachten Sie auch, dass der Indexdienst in Windows XP Beta auch verwundbar ist. Der Sicherheitsratgeber, der diese Schwachstelle beschreibt, finden Sie unter http://www.eeye.com/html/Research/Advisories/AD20010618.html icon_popup_short.gif. Microsoft hat einen Patch für diese Schwachstelle veröffentlicht, der unter http://www.microsoft.com/technet/security/bulletin/MS01-033.mspx icon_popup_short.gif heruntergeladen werden kann.

Die in diesem Dokument beschriebenen Signaturen sind in Signatur-Update-Version S(5) verfügbar. Cisco Systems empfiehlt ein Upgrade der Sensoren auf das Signatur-Update 2.2.1.8 oder 2.5(1)S3, bevor diese Signatur implementiert wird. Registrierte Benutzer können diese Signatur-Updates vom Cisco Secure Software Center herunterladen. Alle Benutzer können den technischen Support von Cisco per E-Mail und Telefon über die weltweiten Kontakte von Cisco kontaktieren.

Voraussetzungen

Anforderungen

Für dieses Dokument bestehen keine speziellen Anforderungen.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf den folgenden Softwareversionen:

  • Microsoft Windows NT und IIS 4.0

  • Microsoft Windows 2000 und IIS 5.0

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie in den Cisco Technical Tips Conventions.

Signaturen für benutzerdefinierte Zeichenfolgenzuordnung

Es gibt zwei spezifische benutzerdefinierte Zeichenfolgenentsprechungssignaturen, um dieses Problem zu beheben. Jede Signatur wird nachfolgend beschrieben, und die entsprechenden Produkteinstellungen werden bereitgestellt.

Signatur 1 - Index-Serverzugriff mit versuchter Ausnutzung

Diese Signatur löst einen versuchten Pufferüberlauf auf der ISAPI-Erweiterung des Indexservers aus und versucht, Shell-Code an den Server zu übergeben, um privilegierten Zugriff in der ursprünglichen Form des Codes zu erhalten. Die Signatur startet nur beim Versuch, Shell-Code an den Zieldienst zu übergeben, um den vollständigen Zugriff auf die Systemebene zu erhalten. Ein mögliches Problem ist, dass diese Signatur nicht ausgelöst wird, wenn der Angreifer nicht versucht, irgendeinen Shell-Code zu übergeben, sondern nur den Pufferüberlauf gegen den Dienst ausführt, um IIS abstürzen zu lassen und eine Diensteverweigerung zu erstellen.

Zeichenfolge 

[Gg][Ee][Tt].*[.][Ii][Dd][Aa][\x00-\x7f]+[\x80-\xff]

Produkteinstellungen

  • Ereignisse: 1

  • Port: 80

Hinweis: Wenn Webserver andere TCP-Ports überwachen (z. B. 8080), müssen Sie für jede Portnummer eine eigene benutzerdefinierte Zeichenfolgenentsprechung erstellen.

  • Empfohlener Alarm-Schweregrad:

    • Hoch (Cisco Secure Policy Manager)

    • 5 (Unix Director)

  • Richtung:

    AN

Signatur 2 - Index Server Access Buffer Overflow "Code Red" Wurm

Die zweite Signatur löst einen versuchten Pufferüberlauf auf der ISAPI-Erweiterung des Indexservers aus und versucht, Shell-Code an den Server zu übergeben, um privilegierten Zugriff in der verschleierten Form zu erhalten, die der Wurm "Code Red" verwendet. Diese Signatur wird nur beim Versuch ausgelöst, Shell-Code an den Zieldienst zu übergeben, um den Zugriff auf die gesamte Systemebene zu erhalten. Ein mögliches Problem ist, dass diese Signatur nicht ausgelöst wird, wenn der Angreifer nicht versucht, irgendeinen Shell-Code zu übergeben, sondern nur den Pufferüberlauf gegen den Dienst ausführt, um IIS abstürzen zu lassen und eine Diensteverweigerung zu erstellen.

Zeichenfolge 

[/]default[.]ida[?][a-zA-Z0-9]+%u

Hinweis: Die obige Zeichenfolge enthält keine Leerzeichen.

Produkteinstellungen

  • Ereignisse: 1

  • Port: 80

Hinweis: Wenn Webserver andere TCP-Ports überwachen (z. B. 8080), müssen Sie für jede Portnummer eine eigene benutzerdefinierte Zeichenfolgenentsprechung erstellen.

  • Empfohlener Alarm-Schweregrad:

    • Hoch (Cisco Secure Policy Manager)

    • 5 (Unix Director)

  • Richtung:

    AN

Weitere Informationen zu Cisco Secure IDS finden Sie unter Cisco Secure Intrusion Detection.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
24-Jun-2008
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.