Verwenden von benutzerdefinierten Cisco Secure IDS/NetRanger String Match-Signaturen für "Code Red" Worm Remote Buffer Overflow in Microsoft Index Server ISAPI Extension in IIS 4.0 und 5.0

Download-Optionen

  • PDF     (255.5 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (101.7 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (86.1 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:24. Juni 2008
Dokument-ID:13870

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

Ende Juli 2003 schätzte Computer Economics (eine unabhängige Forschungsorganisation in Carlsbad, Kalifornien), dass der Wurm "Code Red" Unternehmen 1,2 Milliarden US-Dollar (US-Dollar) gekostet hat, um sich von Netzwerkschäden zu erholen und die Produktivität zu verringern. Diese Schätzung stieg mit der anschließenden Veröffentlichung des stärkeren "Code Red II"-Wurms deutlich an. Das Cisco Secure Intrusion Detection System (IDS), eine Schlüsselkomponente des Cisco SAFE Blueprint, hat seinen Nutzen bei der Erkennung und Eindämmung von Netzwerksicherheitsrisiken, einschließlich des "Code Red"-Wurms, unter Beweis gestellt.

Dieses Dokument beschreibt ein Software-Update zur Erkennung der vom Wurm "Code Red" verwendeten Exploit-Methode (siehe Signatur 2 unten).

Sie können die unten gezeigten benutzerdefinierten Zeichenfolgenübereinstimmungssignaturen erstellen, um die Ausnutzung eines Pufferüberlaufs für Webserver abzufangen, auf denen Microsoft Windows NT und Internetinformationsdienste (IIS) 4.0 oder Windows 2000 und IIS 5.0 ausgeführt werden. Beachten Sie auch, dass der Indexdienst in Windows XP Beta auch verwundbar ist. Die Sicherheitsempfehlung, die diese Schwachstelle beschreibt, finden Sie unter http://www.eeye.com/html/Research/Advisories/AD20010618.htmlicon_popup_short.gif. Microsoft hat einen Patch für diese Sicherheitslücke veröffentlicht, der von http://www.microsoft.com/technet/security/bulletin/MS01-033.mspx heruntergeladen werden kannicon_popup_short.gif.

Die in diesem Dokument beschriebenen Signaturen sind ab der Signatur-Update-Version S(5) verfügbar. Cisco Systems empfiehlt, vor der Implementierung dieser Signatur ein Upgrade der Sensoren auf 2.2.1.8 oder 2.5(1)S3 Signatur durchzuführen. Registrierte Benutzer können diese Signatur-Updates vom Cisco Secure Software Center herunterladen. Alle Benutzer können den technischen Support von Cisco per E-Mail und telefonisch über die weltweiten Kontakte von Cisco kontaktieren.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf den folgenden Softwareversionen:

  • Microsoft Windows NT und IIS 4.0

  • Microsoft Windows 2000 und IIS 5.0

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Signaturen für benutzerdefinierte Zeichenfolgenzuordnung

Es gibt zwei spezifische Signaturen für benutzerdefinierte Zeichenfolgenentsprechungen, um dieses Problem zu beheben. Jede Signatur wird unten beschrieben, und die entsprechenden Produkteinstellungen werden bereitgestellt.

Signatur 1 - Indexserver-Zugriff mit Exploit-Versuch

Diese Signatur wird bei einem versuchten Pufferüberlauf auf der ISAPI-Erweiterung des Indexservers ausgelöst, verbunden mit dem Versuch, Shell-Code an den Server zu übergeben, um privilegierten Zugriff in der ursprünglichen Form des Codes zu erhalten. Die Signatur wird nur ausgelöst, wenn versucht wird, Shell-Code an den Zieldienst zu übergeben, um vollständigen Zugriff auf SYSTEMEBENE zu erhalten. Ein mögliches Problem besteht darin, dass diese Signatur nicht ausgelöst wird, wenn der Angreifer nicht versucht, Shell-Code zu übergeben, sondern nur den Pufferüberlauf gegen den Dienst ausführt, um IIS zum Absturz zu bringen und ein Denial of Service zu erstellen.

String 

[Gg][Ee][Tt].*[.][Ii][Dd][Aa][\x00-\x7f]+[\x80-\xff]

Produkteinstellungen

  • Vorkommen: 1

  • Port: 80

Hinweis: Wenn Webserver andere TCP-Ports überwachen (z. B. 8080), müssen Sie für jede Port-Nummer eine eigene benutzerdefinierte Zeichenfolgenentsprechung erstellen.

  • Empfohlener Alarm-Schweregrad:

    • Hoch (Cisco Secure Policy Manager)

    • 5 (Unix Director)

  • Richtung:

    ZU

Signatur 2 - Index Server Access Buffer Overflow "Code Red"-Wurm

Die zweite Signatur löst einen versuchten Pufferüberlauf auf der ISAPI-Erweiterung des Indexservers aus, verbunden mit dem Versuch, Shell-Code an den Server zu übergeben, um privilegierten Zugriff in der verschleierten Form zu erhalten, die der Wurm "Code Red" verwendet. Diese Signatur wird nur ausgelöst, wenn versucht wird, Shell-Code an den Zieldienst zu übergeben, um vollständigen Zugriff auf SYSTEMEBENE zu erhalten. Ein mögliches Problem besteht darin, dass diese Signatur nicht ausgelöst wird, wenn der Angreifer nicht versucht, Shell-Code zu übergeben, sondern nur den Pufferüberlauf gegen den Dienst ausführt, um IIS zum Absturz zu bringen und ein Denial of Service zu erstellen.

String 

[/]default[.]ida[?][a-zA-Z0-9]+%u

Hinweis: Die Zeichenfolge enthält keine Leerzeichen.

Produkteinstellungen

  • Vorkommen: 1

  • Port: 80

Hinweis: Wenn Webserver andere TCP-Ports überwachen (z. B. 8080), müssen Sie für jede Port-Nummer eine eigene benutzerdefinierte Zeichenfolgenentsprechung erstellen.

  • Empfohlener Alarm-Schweregrad:

    • Hoch (Cisco Secure Policy Manager)

    • 5 (Unix Director)

  • Richtung:

    ZU

Weitere Informationen zu Cisco Secure IDS finden Sie unter Cisco Secure Intrusion Detection.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
10-Dec-2001
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.