IIS 4.0 및 5.0의 Microsoft Index Server ISAPI Extension에서 "Code Red" WORM 원격 버퍼 오버플로에 대한 Cisco Secure IDS/NetRanger 사용자 지정 문자열 일치 서명 사용
목차
소개
2003년 7월 말, Computer Economist(CA Carlsbad의 독립 연구 기관)는 "Code Red(코드 레드)" 지렁이(Code Red)"가 네트워크 손상 및 생산성 손실 복구 시 기업에서 12억 달러의 비용을 부담하는 것으로 추정했습니다.이 추정은 더 강력한 "코드 레드 II" 벌레의 후속 릴리스와 함께 상당히 상승했습니다.Cisco SAFE Blueprint의 핵심 구성 요소인 Cisco IDS(Secure Intrusion Detection System)는 "Code Red(코드 레드)" WORM을 비롯한 네트워크 보안 위험을 탐지하고 완화하는 데 있어 그 가치를 입증했습니다.
이 문서에서는 "Code Red(코드 레드)" worm에서 사용하는 익스플로잇 방법을 탐지하기 위한 소프트웨어 업데이트에 대해 설명합니다(아래 서명 2 참조).
아래에 표시된 사용자 지정 문자열 일치 서명을 만들어 Microsoft Windows NT 및 IIS(인터넷 정보 서비스) 4.0 또는 Windows 2000 및 IIS 5.0을 실행하는 웹 서버에 대한 버퍼 오버플로를 catch할 수 있습니다. Windows XP 베타의 인덱싱 서비스도 취약합니다.이 취약성을 설명하는 보안 권고 사항은 http://www.eeye.com/html/Research/Advisories/AD20010618.html에 있습니다 
.Microsoft는 http://www.microsoft.com/technet/security/bulletin/MS.01-033.mspx에서 다운로드할 수 있는 이 취약성에 대한 패치를 릴리스했습니다 .
이 문서에서 설명한 서명은 서명 업데이트 릴리스 S(5)에서 사용할 수 있게 되었습니다. Cisco Systems는 이 서명을 구현하기 전에 센서를 2.2.1.8 또는 2.5(1)S3 서명 업데이트로 업그레이드할 것을 권장합니다.등록된 사용자는 Cisco Secure Software Center에서 이러한 서명 업데이트를 다운로드할 수 있습니다.모든 사용자는 Cisco Worldwide Contacts를 통해 이메일 및 전화로 Cisco 기술 지원에 문의할 수 있습니다.
사전 요구 사항
요구 사항
이 문서에 대한 특정 요건이 없습니다.
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 버전을 기반으로 합니다.
-
Microsoft Windows NT 및 IIS 4.0
-
Microsoft Windows 2000 및 IIS 5.0
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
표기 규칙
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.
사용자 지정 문자열 일치 서명
이 문제를 해결하기 위한 두 가지 특정 사용자 지정 문자열 일치 서명이 있습니다.각 서명은 아래에 설명되어 있으며 적용 가능한 제품 설정이 제공됩니다.
서명 1 — 익스플로잇 시도가 시도된 인덱스 서버 액세스
이 시그니처는 인덱스 서버 ISAPI 확장에서 버퍼 오버플로를 시도하여 셸 코드를 서버에 전달하여 원래 형식의 코드에 대한 액세스 권한을 얻으려는 시도와 결합됩니다.서명은 전체 SYSTEM 레벨 액세스를 얻기 위해 셸 코드를 대상 서비스에 전달하려는 시도에서만 발생합니다.한 가지 가능한 문제는 공격자가 셸 코드를 전달하려고 시도하지 않고 IIS를 충돌시키고 서비스 거부를 만들기 위해 서비스에 대해 버퍼 오버플로를 실행하면 이 서명이 실행되지 않는다는 것입니다.
문자열
[Gg][Ee][Tt].*[.][Ii][Dd][Aa][\x00-\x7f]+[\x80-\xff]
제품 설정
-
발생:1
-
포트:80
참고: 웹 서버가 다른 TCP 포트(예: 8080)에서 수신하는 경우 각 포트 번호에 대해 별도의 사용자 지정 문자열 일치를 생성해야 합니다.
-
권장 경보 심각도 수준:
-
높음(Cisco Secure Policy Manager)
-
5(Unix 디렉터)
-
-
방향:
받는 사람
서명 2 — 인덱스 서버 액세스 버퍼 오버플로 "코드 레드" WORM
두 번째 시그니처는 인덱싱 서버 ISAPI 확장에서 시도된 버퍼 오버플로에 대해 발생하며, 셸 코드를 서버에 전달하여 "코드 레드" WORM에서 사용하는 난독 형식의 특권 액세스를 얻으려고 합니다.이 서명은 전체 SYSTEM 레벨 액세스를 얻기 위해 셸 코드를 대상 서비스에 전달하려는 시도에서만 발생합니다.한 가지 가능한 문제는 공격자가 셸 코드를 전달하려고 시도하지 않고 IIS를 충돌시키고 서비스 거부를 만들기 위해 서비스에 대해 버퍼 오버플로를 실행하면 이 서명이 실행되지 않는다는 것입니다.
문자열
[/]default[.]ida[?][a-zA-Z0-9]+%u
참고: 위 문자열에 공백이 없습니다.
제품 설정
-
발생:1
-
포트:80
참고: 웹 서버가 다른 TCP 포트(예: 8080)에서 수신하는 경우 각 포트 번호에 대해 별도의 사용자 지정 문자열 일치를 생성해야 합니다.
-
권장 경보 심각도 수준:
-
높음(Cisco Secure Policy Manager)
-
5(Unix 디렉터)
-
-
방향:
받는 사람
Cisco Secure IDS에 대한 자세한 내용은 Cisco Secure Intrusion Detection을 참조하십시오.
피드백