Uso de Cisco Secure IDS/NetRanger Custom String Match Signatures en caso de desbordamiento del búfer remoto ocasionado por el gusano "Código rojo" en Microsoft Index Server ISAPI Extension en IIS 4.0 y 5.0

Opciones de descarga

  • PDF     (254.2 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (104.0 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (89.0 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:24 de junio de 2008
ID del documento:13870

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

A fines de julio de 2003, Computer Economics (una empresa de investigación independiente de Carlsbad, CA) estimó que el costo incurrido por las empresas para reparar los daños producidos a la red y la pérdida de productividad provocados por el gusano “Code Red” ascendía a $1200 millones de dólares estadounidenses. Esta estimación aumentó significativamente con la posterior liberación del más potente gusano "Code Red II". El Sistema de seguridad de detección de intrusos de Cisco (IDS), un componente clave del plano SAFE de Cisco, ha demostrado su valor a la hora de detectar y mitigar riesgos de seguridad de la red, entre ellos el gusano “Code Red”.

Este documento describe una actualización de software para detectar el método de explotación utilizado por el gusano “Código rojo” (vea Firma 2 abajo).

Puede crear las firmas de coincidencia de cadena personalizadas que se muestran a continuación para detectar la explotación de un desbordamiento de búfer para servidores Web que ejecutan Microsoft Windows NT e Internet Information Services (IIS) 4.0 o Windows 2000 e IIS 5.0. Además, observe que el servicio de indexación en Windows XP beta también es vulnerable. El aviso de seguridad que describe esta vulnerabilidad se encuentra en http://www.eeye.com/html/Research/Advisories/AD20010618.htmlicon_popup_short.gif. Microsoft ha lanzado un parche para esta vulnerabilidad que se puede descargar de http://www.microsoft.com/technet/security/bulletin/MS01-033.mspxicon_popup_short.gif.

Las firmas que se describen en este documento están disponibles en la versión de actualización de firmas S(5). Cisco Systems recomienda que los sensores se actualicen a la versión 2.2.1.8 o a la versión 2.5(1)S3 antes de implementar esta firma. Los usuarios registrados pueden descargar estas actualizaciones de firmas desde Cisco Secure Software Center. Todos los usuarios pueden contactarse con el Soporte técnico de Cisco por correo electrónico y por teléfono a través de los contactos mundiales de Cisco.

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software:’

  • Microsoft Windows NT e IIS 4.0

  • Microsoft Windows 2000 e IIS 5.0

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Convenciones

For more information on document conventions, refer to the Cisco Technical Tips Conventions.

Firmas de coincidencia de cadena personalizada

Existen dos firmas de coincidencia de cadena personalizadas específicas para solucionar este problema. A continuación se describe cada firma y se proporciona la configuración del producto correspondiente.

Firma 1 — Acceso al servidor de interacción con intento de explotación

Esta firma activa un intento de desbordamiento de la memoria intermedia en la extensión ISAPI del servidor de índices combinado con un intento de pasar un código shell al servidor para obtener acceso privilegiado en la forma original del código. La firma sólo se activa para intentar pasar el código shell al servicio objetivo y obtener acceso total al nivel del SISTEMA. Un problema posible es que esta firma no dispara si el atacante no intenta pasar algún código shell, pero sólo ejecuta el desbordamiento de la memoria intermedia contra el servicio en un intento de bloquear el IIS y crear un rechazo del servicio.

String (cadena) 

[Gg][Ee][Tt].*[.][Ii][Dd][Aa][\x00-\x7f]+[\x80-\xff]

Configuraciones del producto

  • Eventos: 1

  • Puerto: 80

Nota: Si tiene servidores Web que escuchan en otros puertos TCP (por ejemplo, 8080), debe crear una cadena de caracteres personalizada independiente para cada número de puerto.

  • Nivel de gravedad de alarma recomendado:

    • Alto (Cisco Secure Policy Manager)

    • 5 (UNIX Director)

  • Dirección:

    A

Firma 2: gusano "Código rojo" de desbordamiento de búfer de acceso a Index Server

La segunda firma se activa en un intento de desbordamiento de búfer en la extensión ISAPI del servidor de indexación combinado con un intento de pasar código shell al servidor para obtener acceso privilegiado en la forma desordenada que utiliza el gusano "Código rojo". Esta firma sólo se activa cuando se intenta pasar código shell al servicio de destino para obtener acceso completo a nivel del SISTEMA. Un problema posible es que esta firma no dispara si el atacante no intenta pasar algún código shell, pero sólo ejecuta el desbordamiento de la memoria intermedia contra el servicio en un intento de bloquear el IIS y crear un rechazo del servicio.

String (cadena) 

[/]default[.]ida[?][a-zA-Z0-9]+%u

Nota: No hay espacios en blanco en la cadena anterior.

Configuraciones del producto

  • Eventos: 1

  • Puerto: 80

Nota: Si tiene servidores Web que escuchan en otros puertos TCP (por ejemplo, 8080), debe crear una cadena de caracteres personalizada independiente para cada número de puerto.

  • Nivel de gravedad de alarma recomendado:

    • Alto (Cisco Secure Policy Manager)

    • 5 (UNIX Director)

  • Dirección:

    A

Para obtener más información sobre Cisco Secure IDS, consulte Cisco Secure Intrusion Detection.

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
10-Dec-2001
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos