IIS 4.0 および 5.0 の Microsoft インデックス サーバ ISAPI 拡張における「Code Red」ワームのリモート バッファ オーバーフローに対する シスコ Secure IDS/Netranger カスタム ストリング照合型シグニチャの使用

ダウンロード オプション

  • PDF     (344.7 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (93.9 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (81.6 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2008 年 6 月 24 日
Document ID:13870

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

はじめに

2003年7月末の時点で、カリフォルニア州カールスバッドの独立系調査機関であるComputer Economicsは、「Code Red」ワームによって企業がネットワークの損傷から回復し、生産性を失った場合に12億ドル(米国)のコストが生じると見積もりました。推定額は、最近より強力な「Code Red II」ワームがリリースされたことにより、大幅に増加するとみられます。Cisco SAFE Blueprint の主要コンポーネントである Cisco Secure Intrusion Detection System(IDS; セキュア侵入検知システム)は、「Code Red」ワームをはじめとするネットワーク セキュリティのリスクを検知し、これを軽減するという価値を証明してきました。

この文書では、「Code Red」ワームが使用する不正利用方式(下記のシグニチャ 2 を参照)を検知するソフトウェア アップデートについて説明します。

次のカスタム ストリング照合型シグニチャを作成すると、Microsoft Windows NT と Internet Information Services(IIS)4.0 または Windows 2000 と IIS 5.0 を実行している Web サーバに対し、バッファ オーバーフローの不正利用を捕捉することができます。また、Windows XP ベータのインデックス サービスも脆弱であることにも注意してください。この脆弱性に関するセキュリティアドバイザリは、http://www.eeye.com/html/Research/Advisories/AD20010618.html icon_popup_short.gifにあります。Microsoftはこの脆弱性に対するパッチをリリースしています。このパッチはhttp://www.microsoft.com/technet/security/bulletin/MS01-033.mspx icon_popup_short.gifからダウンロードできます。

このドキュメントで説明されているシグニチャは、シグニチャアップデートリリースS(5)で使用可能になりました。シスコシステムズは、このシグニチャを実装する前に、センサーを 2.2.1.8 または 2.5(1)S3 シグニチャ アップデートにアップグレードすることを推奨しています。登録ユーザは、Cisco Secure Software Centerからこれらのシグニチャアップデートをダウンロードできます。どのユーザでも、「Cisco Worldwide Contacts」に掲載されている連絡先に電子メールを送信、および電話することで、Cisco Technical Support に連絡できます。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

この設定は、次のバージョンのソフトウェアおよびハードウェアを使用して作成と動作確認が行われました。

  • Microsoft Windows NTおよびIIS 4.0

  • Microsoft Windows 2000およびIIS 5.0

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

表記法の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。

カスタム ストリング照合シグニチャ

この問題に対処するための、特定のカスタム ストリング照合型シグニチャが 2 種類あります。各シグニチャについて次に説明します。また、適用可能な製品設定についても説明します。

シグニチャ1:不正利用目的によるインデックスサーバアクセスの試み

このシグニチャは、シェルコードをサーバへ送り、コードの元の形態で特権アクセスを取得しようとする動きに対処すると同時に、Indexing Server ISAPI Extension へのバッファ オーバーフローの不正利用に対処するためのものです。このシグニチャは、シェルコードをターゲットとなるサービスへ送り、完全なシステム レベルのアクセスを取得しようとする攻撃にのみ対処します。ここで考えられる問題は、このシグニチャは、アタッカーがシェルコードを送ろうとせずに、IIS をクラッシュさせてサービスを拒否状態にするため、サービスに対してバッファ オーバーフローだけを実行する攻撃に対しては対処しないことです。

String 

[Gg][Ee][Tt].*[.][Ii][Dd][Aa][\x00-\x7f]+[\x80-\xff]

製品設定

  • 回数: 1

  • ポート:80

注:他のTCPポート(8080など)をリッスンするWebサーバがある場合は、ポート番号ごとに個別のカスタム文字列照合を作成する必要があります。

  • 推奨されるアラーム重要度

    • 高(Cisco Secure Policy Manager)

    • 5(Unix 管理者)

  • [Direction]:

    TO

シグニチャ2:Index Server Access Buffer Overflow「Code Red」ワーム

2 番目のシグニチャは、シェルコードをサーバへ送り、"Code Red" ワームで使用される不明瞭な形態で特権アクセスを取得しようとする動きに対処すると同時に、Indexing Server ISAPI Extension のバッファ オーバーフローの不正利用に対処するためのものです。このシグニチャは、シェルコードをターゲットとなるサービスへ送り、完全なシステム レベルのアクセスを取得しようする攻撃にのみ対処します。ここで考えられる問題は、このシグニチャは、アタッカーがシェルコードを送ろうとせずに、IIS をクラッシュさせてサービスを拒否状態にするため、サービスに対してバッファ オーバーフローだけを実行する攻撃に対しては対処しないことです。

String 

[/]default[.]ida[?][a-zA-Z0-9]+%u

注:上記の文字列に空白は含まれていません。

製品設定

  • 回数: 1

  • ポート:80

注:他のTCPポート(8080など)をリッスンするWebサーバがある場合は、ポート番号ごとに個別のカスタム文字列照合を作成する必要があります。

  • 推奨されるアラーム重要度

    • 高(Cisco Secure Policy Manager)

    • 5(Unix 管理者)

  • [Direction]:

    TO

Cisco Secure IDSの詳細は、『Cisco Secure Intrusion Detection』を参照してください。

関連情報

更新履歴

改定 発行日 コメント
1.0
10-Dec-2001
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています