-
Microsoft kondigde 10 veiligheidsbulletins aan die 33 kwetsbaarheden aanpakken als deel van het maandelijkse veiligheidsbulletin van 14 Mei, 2013. Een samenvatting van deze bulletins is op de website van Microsoft in http://technet.microsoft.com/en-us/security/bulletin/ms13-may. Dit document biedt identificatie- en onderdrukkingstechnieken die beheerders op Cisco-netwerkapparaten kunnen implementeren.
De kwetsbaarheden die een client software aanvalsvector hebben, kunnen lokaal op het kwetsbare apparaat worden geëxploiteerd, vereisen gebruikersinteractie, of kunnen worden geëxploiteerd met behulp van web-based aanvallen (deze omvatten maar zijn niet beperkt tot cross-site scripting, phishing en web-based e-mail bedreigingen) of e-mail bijlagen zijn in de volgende lijst:
De kwetsbaarheden die een netwerkmatiging hebben zijn in de volgende lijst. Cisco-apparaten bieden verschillende tegenmaatregelen voor de kwetsbaarheden van een netwerkaanvalsvector, die later in dit document in detail wordt besproken.
Informatie over getroffen en onaangetaste producten is beschikbaar in de respectieve Microsoft Advisories en de Cisco Alerts die worden genoemd in Cisco Event Response: Microsoft Security Bulletin release voor mei 2013.
Daarnaast maken meerdere Cisco-producten gebruik van Microsoft-besturingssystemen als hun basisbesturingssysteem. Cisco-producten die kunnen worden beïnvloed door de kwetsbaarheden die in de Microsoft Advisories met referenties worden beschreven, worden gedetailleerd in de tabel "Bijbehorende producten" in de sectie "Productsets".
-
MS13-037, Vulnerabilities in Microsoft Publisher Kan uitvoering van code op afstand toestaan (2830397): Deze kwetsbaarheden zijn toegewezen Common Vulnerabilities and Exposations (CVE) identificators CVE-2013-0811, CVE-2013-1297, CVE-2013-1306, CVE-2013-1307, CVE-2013-1308 VE-2013-1309, CVE-2013-1310, CVE-2013-1311, CVE-2013-1312 en CVE-2013-1313. Deze kwetsbaarheden kunnen op afstand worden benut zonder authenticatie en zonder gebruikersinteractie.
Succesvolle benutting van de kwetsbaarheden die verband houden met CVE-2013-0811, CVE-2013-1306, CVE-2013-1307, CVE-2013-1308, CVE-2013-1309, CVE-2013-1310, CVE-2013-11 013-1312, en CVE-2013-1313 kunnen willekeurige code-uitvoering toestaan. De aanvalsvector voor de exploitatie van deze kwetsbaarheden is via HTTP-pakketten, die doorgaans TCP-poort 80 gebruiken maar ook TCP-poorten 3128, 8000, 8010, 8080, 8888 en 24326 kunnen gebruiken. Er zullen geen netwerkmatigingen voor deze kwetsbaarheden zijn die in dit document worden beschreven.
Succesvolle exploitatie van de kwetsbaarheid die verband houdt met CVE-2013-1297 kan openbaarmaking van informatie toestaan. De aanvalsvector voor de exploitatie van deze kwetsbaarheden is via HTTP-pakketten, die doorgaans TCP-poort 80 gebruiken maar ook TCP-poorten 3128, 8000, 8010, 8080, 8888 en 24326 kunnen gebruiken.
Cisco ASA 5500 Series adaptieve security applicatie, Cisco Catalyst 6500 Series ASA services module (ASM), Cisco Firewall Services Module (FWSM) voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers, en Cisco ACE Application Control Engine applicatie en module bieden bescherming voor potentiële pogingen om alleen de kwetsbaarheid te exploiteren die is geassocieerd met CVE-2013-1297 (een onderwerp dat in dit document is opgenomen).
MS13-042, Cumulative Security Update voor Internet Explorer (2829530): Aan deze kwetsbaarheden zijn de Common Vulnerabilities and Exposations (CVE)-identificatiecodes CVE-2013-1316, CVE-2013-1317, CVE-2013-1318, CVE-2013-1319, CVE-2013-1320, CVE-20 toegewezen 13-1321, CVE-2013-1322, CVE-2013-1323, CVE-2013-1327, CVE-2013-1328 en CVE-2013-1329. Deze kwetsbaarheden kunnen op afstand worden benut zonder authenticatie en zonder gebruikersinteractie.
Succesvolle exploitatie van de kwetsbaarheden die verband houden met CVE-2013-1316, CVE-2013-1317, CVE-2013-1318, CVE-2013-1319, CVE-2013-1320, CVE-2013-1321, CVE-2013-1322 013-1323, CVE-2013-1327 en CVE-2013-1328 kunnen een willekeurige code uitvoeren. De aanvalsvector voor de exploitatie van deze kwetsbaarheden is via HTTP-pakketten, die doorgaans TCP-poort 80 gebruiken maar ook TCP-poorten 3128, 8000, 8010, 8080, 8888 en 24326 kunnen gebruiken.
De Cisco ASA 5500 Series adaptieve security applicatie, Cisco Catalyst 6500 Series ASA servicesmodule (ASM), Cisco Firewall Services Module (FWSM) voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers, en Cisco ACE Application Control Engine applicatie en module bieden bescherming voor potentiële pogingen om deze kwetsbaarheden te exploiteren (een onderwerp dat in dit document is opgenomen).
-
Informatie over kwetsbare, onaangetaste en vaste software is beschikbaar in het Microsoft Security Bulletin Samenvatting voor mei 2013, dat beschikbaar is op de volgende link: http://www.microsoft.com/technet/security/bulletin/ms13-may.mspx
-
De kwetsbaarheden die een de aanvalsvector hebben van de cliëntsoftware, kunnen plaatselijk op het kwetsbare apparaat worden geëxploiteerd, vereisen gebruikersinteractie, kunnen worden geëxploiteerd met het gebruiken van web-based aanvallen (deze omvatten maar zijn niet beperkt tot dwars-site het scripting, het phishing, en web-based e-mailbedreigingen) of e-mailbijlagen zijn in de volgende lijst:
Deze kwetsbaarheden worden op het endpoint met het meeste succes verzacht door software-updates, gebruikersonderwijs, best practices voor desktopbeheer en endpointbeveiligingssoftware zoals Cisco Security Agent Host Inbraakpreventiesysteem (HIPS) of antivirusproducten.
De kwetsbaarheden die een netwerkmatiging hebben zijn in de volgende lijst. Cisco-apparaten bieden verschillende tegenmaatregelen voor deze kwetsbaarheden. In dit gedeelte van het document wordt een overzicht van deze technieken gegeven.
Effectieve explosiepreventie kan ook worden geboden door de Cisco ASA 5500 Series adaptieve security applicatie, Cisco Catalyst 6500 Series ASA servicesmodule (ASM) en de Firewall Services Module (FWSM) voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers met behulp van Application Layer Protocol inspection.
Dit beschermingsmechanisme filtert en laat pakketten vallen die proberen om de kwetsbaarheden te exploiteren die een vector van de netwerkaanval hebben.
De Cisco ACE-applicatie en module voor Application Control Engine kunnen ook een effectieve bescherming bieden door gebruik te maken van toepassingsprotocolinspectie.
Cisco ASA, Cisco ASASM, Cisco FWSM firewalls, en Cisco ACE Application Control Engine applicatie en module kunnen zichtbaarheid bieden door middel van syslogberichten en tegenwaarden die worden weergegeven in de uitvoer van show opdrachten.
Effectief gebruik van de gebeurtenisacties van Cisco Inbraakpreventiesysteem (IPS) biedt zichtbaarheid in en bescherming tegen aanvallen die proberen deze kwetsbaarheden te exploiteren zoals later in dit document besproken.
De Cisco Security Manager kan ook zichtbaarheid bieden via incidenten, vragen en gebeurtenisrapportage.
-
Organisaties wordt aangeraden hun standaard risicobeoordelings- en risicobeperkingsprocessen te volgen om de potentiële impact van deze kwetsbaarheden te bepalen. Triage verwijst naar het sorteren van projecten en het prioriteren van inspanningen die waarschijnlijk het meest succesvol zullen zijn. Cisco heeft documenten geleverd die organisaties kunnen helpen bij de ontwikkeling van een op risico gebaseerde triagecapaciteit voor hun informatieveiligheidsteams. Risico Triage voor Security Vulnerability aankondigingen en Risk Triage en Prototyping kunnen organisaties helpen herhaalbare security evaluatie- en reactieprocessen te ontwikkelen.
-
Waarschuwing: de effectiviteit van elke mitigatietechniek hangt af van specifieke klantsituaties, zoals productmix, netwerktopologie, verkeersgedrag en organisatorische missie. Zoals bij elke configuratiewijziging, evalueer het effect van deze configuratie voordat u de wijziging toepast.
Voor deze hulpmiddelen is specifieke informatie over beperking en identificatie beschikbaar:
- Cisco ASA, Cisco ASM en Cisco FWSM-firewalls
- Cisco ACE
- Cisco-inbraakpreventiesysteem
- Cisco Security Manager
Cisco ASA, Cisco ASM en Cisco FWSM-firewalls
Beperking: Application Layer Protocol Inspectie
Application Layer Protocol inspection is beschikbaar vanaf softwarerelease 7.2(1) voor Cisco ASA 5500 Series adaptieve security applicatie, softwarerelease 8.5 voor Cisco Catalyst 6500 Series ASA servicesmodule en in softwarerelease 4.0(1) voor Cisco Firewall Services Module. Deze geavanceerde beveiligingsfunctie voert een diepe pakketinspectie uit van verkeer dat door de firewall loopt. Beheerders kunnen een inspectiebeleid opstellen voor toepassingen die een speciale behandeling vereisen door middel van de configuratie van kaarten van inspectieklasse en kaarten van het inspectiebeleid, die door middel van een globaal of interfacedienstenbeleid worden toegepast.
Aanvullende informatie over inspectie van toepassingslaagprotocollen is in de sectie Configuration Application Layer Inspection van de Cisco ASA 5500 Series Configuration Guide waarin de CLI, 8.2 en de sectie Configuration Application Inspection van de Cisco Catalyst 6500 Series ASA Services Module CLI Configuration Guide, 8.5 worden gebruikt.
Waarschuwing: Application Layer Protocol inspection verlaagt de prestaties van de firewall. Beheerders wordt aangeraden om de invloed op de prestaties te testen in een laboratoriumomgeving voordat deze functie wordt geïmplementeerd in productieomgevingen.
HTTP-toepassingsinspectie
Voor MS13-037 en MS13-042 kunnen beheerders met behulp van de HTTP-inspectieprogramma's op de Cisco ASA 5500 Series adaptieve security applicaties, Cisco 6500 Series ASA-servicesmodules en de Cisco Firewall Services Module reguliere expressies (regexes) configureren voor patroonmatching en inspectieklasse maps en inspectiebeleidskaarten. Deze methodes kunnen helpen tegen specifieke kwetsbaarheden, zoals beschreven in dit document, en andere bedreigingen beschermen die met HTTP-verkeer kunnen worden geassocieerd. De volgende configuratie van HTTP-toepassingsinspectie gebruikt het Cisco Modular Policy Framework (MPF) om een beleid te maken voor inspectie van verkeer op TCP-poorten 80, 3128, 8000, 8010, 8080, 8888 en 24326. Dit zijn de standaardpoorten voor de variabele Cisco IPS #WEBPORTS. Het beleid van de de toepassingsinspectie van HTTP zal verbindingen laten vallen waar het HTTP- reactielichaam om het even welke regexes bevat die worden gevormd om de controle aan te passen ActiveX die met deze kwetsbaarheid wordt geassocieerd.Waarschuwing: de geconfigureerde regexes kan tekststrings op elke locatie in de hoofdtekst van een HTML-respons aan. Zorg ervoor dat legitieme bedrijfstoepassingen die bijpassende tekstkoorden gebruiken zonder de ActiveX-controle te bellen, niet worden beïnvloed. De extra informatie over syntaxis regex is in het Creëren van een Reguliere Expressie.
Aanvullende informatie over ActiveX maakt gebruik van en beperkt de mogelijkheden van Cisco-firewalltechnologieën die beschikbaar zijn in het witboek Preventing ActiveX Exploits with Cisco Firewall Application Layer Inspection of Cisco Security.
! !-- Configure regexes to match .pub file extensions !-- that are associated with MS13-037 ! regex MS13_037_regex ".+\.[Pp][Uu][Bb]" ! !-- Configure regexes that look for the VBscript !-- that has access to JSON data that is associated !-- with CVE-2013-1297 of MS13-042 ! !-- The "?" in the regexes below must be escaped with !-- [CTRL-v]. See Creating a Regular Expression for !-- details. ! regex CVE-2013-1297_1_regex "[Ss][Rr][Cc]=[\x27\x22]?.+\.[Jj][Ss][Oo][Nn] [\x27\x22]?(\s+?[\d\w\.]*(\s+?)?)[Ll][Aa][Nn][Gg][Uu][Aa][Gg][Ee]=[Vv][Bb][Ss]" regex CVE-2013-1297_2_regex "[Ll][Aa][Nn][Gg][Uu][Aa][Gg][Ee]=[Vv][Bb][Ss](\s+?[\d\w\.]* (\s+?))[Ss][Rr][Cc]=[\x27\x22]?.+\.[Jj][Ss][Oo][Nn][\x27\x22]?" ! !-- Configure a regex class to match on the regular !-- expressions that are configured above ! class-map type regex match-any CVE-2013-1297_regex_class match regex CVE-2013-1297_1_regex match regex CVE-2013-1297_2_regex ! !-- Configure an object group for the default ports that !-- are used by the Cisco IPS #WEBPORTS variable, which !-- are TCP ports 80 (www), 3128, 8000, 8010, 8080, 8888, !-- and 24326 ! object-group service WEBPORTS tcp port-object eq www port-object eq 3128 port-object eq 8000 port-object eq 8010 port-object eq 8080 port-object eq 8888 port-object eq 24326 ! !-- Configure an access list that uses the WEBPORTS object !-- group, which will be used to match TCP packets that !-- are destined to the #WEBPORTS variable that is used !-- by a Cisco IPS device ! access-list Webports_ACL extended permit tcp any any object-group WEBPORTS ! !-- Configure a class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable ! class-map Webports_Class match access-list Webports_ACL ! !-- Configure an HTTP application inspection policy that !-- identifies, drops, and logs connections that contain !-- the regexes that are configured above ! policy-map type inspect http MS_May_2013_policy parameters ! !-- "body-match-maximum" indicates the maximum number of !-- characters in the body of an HTTP message that !-- should be searched in a body match. The default value is !-- 200 bytes. A large number such as shown here may have an !-- impact on system performance. Administrators are advised !-- to test performance impact in a lab environment before !-- this command is deployed in production environments. ! body-match-maximum 1380 match request uri regex MS13_037_regex drop-connection log match response body regex class CVE-2013-1297_regex_class drop-connection log ! !-- Add the above-configured "Webports_Class" that matches !-- TCP packets that are destined to the default ports !-- that are used by the Cisco IPS #WEBPORTS variable to !-- the default policy "global_policy" and use it to !-- inspect HTTP traffic that transits the firewall ! policy-map global_policy class Webports_Class inspect http MS_May_2013_policy ! !-- By default, the policy "global_policy" is applied !-- globally, which results in the inspection of !-- traffic that enters the firewall from all interfaces ! service-policy global_policy global
Raadpleeg de Cisco ASA 5500 Series Configuration Guide in combinatie met de CLI, 8.2 voor het configureren van objectgroepen en de sectie Config Objecten en Toegangslijsten van de Cisco Catalyst 6500 Series ASA Services Module CLI Configuration Guide, 8.5. voor extra informatie over de configuratie en het gebruik van objectgroepen.
Aanvullende informatie over HTTP-toepassingsinspectie en de MPF is in de sectie HTTP-inspectie - Overzicht van de Cisco ASA 5500 Series configuratiehandleiding die de CLI, 8.2 gebruikt.
Identificatie: Application Layer Protocol Inspection
Er wordt een firewallsyslog-bericht 415006 gegenereerd wanneer de URI een door de gebruiker gedefinieerde reguliere expressie weergeeft. Het syslogbericht identificeert de bijbehorende HTTP-klasse en het HTTP-beleid en geeft de actie aan die is toegepast op de HTTP-verbinding. Aanvullende informatie over dit syslogbericht wordt weergegeven in Cisco ASA 5500 Series systeemlogbericht, 8.2 - 415006.
Er wordt een firewallsyslog-bericht 415007 gegenereerd wanneer een HTTP-berichttekst overeenkomt met een door de gebruiker gedefinieerde reguliere expressie. Het syslogbericht identificeert de bijbehorende HTTP-klasse en het HTTP-beleid en geeft de actie aan die is toegepast op de HTTP-verbinding. Aanvullende informatie over dit syslogbericht wordt weergegeven in Cisco ASA 5500 Series systeemlogbericht, 8.2 - 415007.
Informatie over het configureren van syslog voor de Cisco ASA 5500 Series adaptieve security applicatie is beschikbaar in Monitoring - Configuration Logging. Informatie over het configureren van syslog voor Cisco Catalyst 6500 Series ASA-servicesmodule bevindt zich in Vastlegging configureren. De informatie over het configureren van syslog op de FWSM voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers is beschikbaar in Monitoring the Firewall Services Module.
In het volgende voorbeeld, de show vastlegging | grep regex opdracht haalt syslog berichten uit de logboekbuffer op de firewall. Deze berichten verstrekken extra informatie over ontkende pakketten die op pogingen konden wijzen om deze kwetsbaarheid te exploiteren. Beheerders kunnen verschillende reguliere expressies gebruiken met het grep-sleutelwoord om te zoeken naar specifieke gegevens in de geregistreerde berichten.
Aanvullende informatie over de syntaxis van reguliere expressies is te vinden in Create a Regular Expression.
HTTP-toepassingsinspectie
firewall#show logging | grep 415006 May 14 2013 14:36:20: %ASA-5-415006: HTTP - matched request uri regex MS13_037_regex in policy-map MS_May_2013_policy, URI matched - Dropping connection from inside:192.168.60.88/2135 to outside:192.0.2.63/80 firewall#show logging | grep 415007
May 14 2013 14:35:54: %ASA-5-415007: HTTP - matched Class 22: class CVE-2013-1297_regex_class in policy-map MS_May_2013_policy, Body matched - Dropping connection from inside:192.168.60.85/2130 to outside:192.0.2.63/80Als HTTP-toepassingsinspectie is ingeschakeld, zal de opdracht Protocol inspecteren voor show-service het aantal HTTP-pakketten identificeren die door deze functie worden geïnspecteerd en gedropt. Het volgende voorbeeld toont output voor show service-policy inspect http:
firewall# show service-policy inspect http Global policy: Service-policy: global_policy Class-map: inspection_default Class-map: Webports_Class Inspect: http MS_May_2013_policy, packet 5025, drop 20, reset-drop 0 protocol violations packet 0 match request uri regex MS13_037_regex drop-connection log, packet 13 match response body regex class CVE-2013-1297_regex_class drop-connection log, packet 7
In het vorige voorbeeld zijn 5025 HTTP-pakketten geïnspecteerd en zijn 20 HTTP-pakketten gevallen.
Cisco ACE
Beperken: Application Protocol Inspection
Application Protocol inspection is beschikbaar voor de Cisco ACE-applicatie en module voor Application Control Engine. Deze geavanceerde beveiligingsfunctie voert een diepe pakketinspectie uit van verkeer dat het Cisco ACE-apparaat doorvoert. De beheerders kunnen een inspectiebeleid voor toepassingen construeren die speciale behandeling door de configuratie van de kaarten van de inspectieklasse en de kaarten van het inspectiebeleid vereisen, die via een globaal of interfacebeleid worden toegepast.
Aanvullende informatie over inspectie van toepassingsprotocollen vindt u in de sectie Configuration Application Protocol Inspection van de Cisco ACE 4700 Series configuratiehandleiding voor applicatie security.
HTTP-pakketcontrole voor diep gebruik
Om HTTP diepe pakketinspectie voor MS13-037 en MS13-042 uit te voeren, kunnen beheerders reguliere expressies (regexes) configureren voor patroonmatching en inspectieklasse kaarten en inspectiemeldaarten samenstellen. Deze methodes kunnen helpen tegen specifieke kwetsbaarheden, zoals beschreven in dit document, en andere bedreigingen beschermen die met HTTP-verkeer kunnen worden geassocieerd. De volgende configuratie van de inspectie van het toepassingsprotocol van HTTP inspecteert verkeer op TCP-poorten 80, 3128, 8000, 8010, 8080, 8888 en 24326, die de standaardpoorten zijn voor de variabele Cisco IPS #WEBPORTS. Het beleid van de de toepassingsprotocolinspectie van HTTP zal verbindingen laten vallen waar de inhoud van HTTP om het even welke regexes bevat die worden gevormd om de controle aan te passen ActiveX die met deze kwetsbaarheid wordt geassocieerd.
Waarschuwing: de geconfigureerde regexes kan tekststrings op elke locatie in de inhoud van een HTML-pakket aan elkaar koppelen. Er dient voor te worden gezorgd dat legitieme zakelijke toepassingen die bijpassende tekststrings gebruiken, niet worden beïnvloed.
Aanvullende informatie over ActiveX-explosies en -beperkingen die gebruikmaken van de Cisco ACE Application Control Engine-applicatie en -module is beschikbaar in de white paper Preventing ActiveX Exploits met Cisco Application Control Engine Application Layer Inspection door Cisco Security.
! !-- Configure an HTTP application inspection class that !-- looks for .pub file extensions that are associated !-- with MS13-037 ! class-map type http inspect match-any MS13_037_class match content ".*.+\.[Pp][Uu][Bb].*"
! !-- Configure an HTTP application inspection class that !-- looks for the VBscript that has access to JSON data !-- that is associated with CVE-2013-1297 of MS13-042 ! !-- The "?" in the regexes below must be escaped with !-- [CTRL-v]. See Creating a Regular Expression for !-- details. ! class-map type http inspect match-any CVE-2013-1297_class match content ".*[Ss][Rr][Cc]=[\x27\x22]?.+\.[Jj][Ss][Oo][Nn] [\x27\x22]?(\s+?[\d\w\.]*(\s+?)?)[Ll][Aa][Nn][Gg][Uu][Aa][Gg][Ee]=[Vv][Bb][Ss].*" match content ".*[Ll][Aa][Nn][Gg][Uu][Aa][Gg][Ee]=[Vv][Bb][Ss](\s+?[\d\w\.]* (\s+?))[Ss][Rr][Cc]=[\x27\x22]?.+\.[Jj][Ss][Oo][Nn][\x27\x22]?.*" ! !-- Configure an HTTP application inspection policy that !-- identifies, resets, and logs connections that contain !-- the regexes that are configured above ! policy-map type inspect http all-match MS_May_2013 class MS13_037_class reset log class CVE-2013-1297_class
reset log ! !-- Configure an access list that matches TCP packets !-- that are destined to the #WEBPORTS variable that is !-- used by a Cisco IPS device ! access-list WEBPORTS line 8 extended permit tcp any any eq www access-list WEBPORTS line 16 extended permit tcp any any eq 3128 access-list WEBPORTS line 24 extended permit tcp any any eq 8000 access-list WEBPORTS line 32 extended permit tcp any any eq 8010 access-list WEBPORTS line 40 extended permit tcp any any eq 8080 access-list WEBPORTS line 48 extended permit tcp any any eq 8888 access-list WEBPORTS line 56 extended permit tcp any any eq 24326 ! !-- Configure a Layer 4 class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable ! class-map match-all L4_http_class match access-list WEBPORTS ! !-- Configure a Layer 4 policy that applies the HTTP application !-- inspection policy configured above to TCP packets that !-- are destined to the ports that are used by the Cisco IPS !-- #WEBPORTS variable ! policy-map multi-match L4_MS_May_2013 class L4_http_class inspect http policy MS_May_2013 ! !-- Apply the configuration globally across all interfaces, !-- which results in the inspection of all traffic that enters !-- the ACE ! service-policy input L4_MS_May_2013Identificatie: Application Protocol Inspection
HTTP-pakketcontrole voor diep gebruik
Cisco ACE-syslogbericht 415006 van Application Control Engine wordt gegenereerd wanneer de URI overeenkomt met een door de gebruiker gedefinieerde reguliere expressie. Het syslogbericht identificeert de bijbehorende HTTP-klasse en het HTTP-beleid en geeft de actie aan die is toegepast op de HTTP-verbinding. Aanvullende informatie over dit syslogbericht wordt weergegeven in de Cisco ACE 4700 Series Berichtshandleiding applicatiesysteem - System Message 415006.
Cisco ACE-systeembericht 415007 van Application Control Engine wordt gegenereerd wanneer een HTTP-berichttekst overeenkomt met een door de gebruiker gedefinieerde reguliere expressie. Het syslogbericht identificeert de bijbehorende HTTP-klasse en het HTTP-beleid en geeft de actie aan die is toegepast op de HTTP-verbinding. Aanvullende informatie over dit syslogbericht wordt weergegeven in de Cisco ACE 4700 Series Berichtshandleiding applicatiesysteem - System Message 415007.
ACE/Admin# show logging | include 415006
May 14 2013 15:26:43: %ACE-5-415006: HTTP - matched MS13_037_class in policy-map L4_MS_May_2013, URI matched - Resetting connection from vlan130:192.168.60.63/1777 to vlan206:192.0.2.71/80 Connection 0x33 ACE/Admin# show logging | include 415007
May 14 2013 15:26:43: %ACE-5-415007: HTTP - matched CVE-2013-1297_class in policy-map L4_MS_May_2013, Body matched - Resetting connection from vlan206:192.0.2.94/80 to vlan130:192.168.60.63/1776 Connection 0x3aWanneer de diepe pakketinspectie van HTTP wordt toegelaten, zal het show service-policy policy policy detail commando het aantal HTTP-verbindingen identificeren die door deze functie worden geïnspecteerd en verwijderd. Het volgende voorbeeld toont output voor show service-policy L4_MS_May_2013 detail:
ACE/Admin# show service-policy L4_MS_May_2013 detail Status : ACTIVE
Description: -----------------------------------------
Context Global Policy: service-policy: L4_MS_May_2013 class: L4_http_class inspect http: L7 inspect policy : MS_May_2013 Url Logging: DISABLED curr conns : 0 , hit count : 1 dropped conns : 0 client pkt count : 3 , client byte count: 589 server pkt count : 3 , server byte count: 547 conn-rate-limit : 0 , drop-count : 0 bandwidth-rate-limit : 0 , drop-count : 0 L4 policy stats: Total Req/Resp: 4 , Total Allowed: 2 Total Dropped : 2 , Total Logged : 0 L7 Inspect policy : MS_May_2013 class/match : MS13_037_class Inspect action : reset log Total Inspected : 2 , Total Matched: 1 Total Dropped OnError: 0 class/match : CVE-2013-1297_class Inspect action : reset log Total Inspected : 2 , Total Matched: 1 Total Dropped OnError: 0In het vorige voorbeeld zijn 4 HTTP-verbindingen geïnspecteerd en zijn 2 HTTP-verbindingen verbroken.
Aanvullende informatie over HTTP Deep Packet Inspection en Application Protocol Inspection is te vinden in de sectie Configuration Application Protocol Inspection van de Cisco ACE 4700 Series configuratiehandleiding voor applicatie security.Cisco-inbraakpreventiesysteem
Beperken: acties voor Cisco IPS-handtekeningen
Beheerders kunnen de Cisco IPS-apparaten en servicesmodules gebruiken om bedreigingsdetectie te bieden en pogingen te voorkomen om verschillende van de kwetsbaarheden te exploiteren die in dit document worden beschreven. De volgende tabel geeft een overzicht van de CVE-identificatiecodes en de respectieve Cisco IPS-handtekeningen die gebeurtenissen op potentiële pogingen om deze kwetsbaarheden te exploiteren zullen activeren.
CVE-id Handtekeningrelease Handtekening-ID Handtekeningnaam Ingeschakeld Ernst Fidelity* CVE-2013-0096 S717 2210/0 Microsoft Internet Explorer WLAN-protocolkwetsbaarheid Ja Hoog 85 CVE-2013-1297 S717 2209/0 Microsoft Internet Explorer JSON Array Informatieverschaffing Ja Hoog 85 CVE-2013-1308 S717 2206/0 Microsoft Internet Explorer gebruiken na gratis kwetsbaarheid Ja Hoog 85 2206/1 Microsoft Internet Explorer gebruiken na gratis kwetsbaarheid Ja Hoog 85 2206/2 Microsoft Internet Explorer gebruiken na gratis kwetsbaarheid Ja Hoog 85 CVE-2013-1309 S717 2195/0 Microsoft Internet Explorer Remote Code uitvoeren Ja Hoog 85 CVE-2013-1301 S717 2191/0 Microsoft Visio-informatievoorziening Ja Gemiddeld 85 CVE-2013-1347 S715 2198/0 Microsoft Internet Explorer 8 Remote Code Execution-kwetsbaarheid Ja Hoog 90 2198/1 Microsoft Internet Explorer 8 Remote Code Execution-kwetsbaarheid Ja Hoog 90 CVE-2013-1310 S719 2221/0 Microsoft Internet Explorer 6 en 7 gebruiken na gratis kwetsbaarheid Ja Hoog 90 CVE-2013-1311 S719 2220/0 Microsoft Internet Explorer Use-After-Free willekeurige code uitvoeren Ja Hoog 80 CVE-2013-1306 S719 2219/0 Microsoft Internet Explorer gebruiken na gratis kwetsbaarheid Ja Hoog 85 2219/1 Microsoft Internet Explorer gebruiken na gratis kwetsbaarheid Ja Hoog 85 2219/2 Microsoft Internet Explorer gebruiken na gratis kwetsbaarheid Ja Hoog 85 CVE-2013-2551 S719 2227/0 Microsoft Internet Explorer Memory Corruptie Kwetsbaarheid Ja Hoog 85 CVE-2013-1307 S719 2217/0 Microsoft Internet Explorer 9 niet-geïnitialiseerde variabelen Kwetsbaarheid Ja Hoog 90 CVE-2013-1312 S719 2225/0 Microsoft Internet Explorer Use-After-Free willekeurige code uitvoeren Ja Hoog 90 CVE-2013-1305 S722 2222/0 Vulbaarheid van Microsoft Windows-server voor HTTP-aanvraag en -weigering Ja Hoog 85 2222/1 Vulbaarheid van Microsoft Windows-server voor HTTP-aanvraag en -weigering Ja Hoog 85 2222/2 Vulbaarheid van Microsoft Windows-server voor HTTP-aanvraag en -weigering Ja Hoog 85 CVE-2013-1336 S719 2230/0 Microsoft .NET Framework XML digitale handtekeningen spoofing Ja Hoog 90 * Fidelity wordt ook aangeduid als Signature Fidelity Rating (SFR) en is de relatieve maat van de nauwkeurigheid van de handtekening (vooraf gedefinieerd). De waarde varieert van 0 tot 100 en wordt ingesteld door Cisco Systems, Inc.
Beheerders kunnen Cisco IPS-sensoren configureren om een gebeurtenisactie uit te voeren wanneer een aanval wordt gedetecteerd. De geconfigureerde gebeurtenisactie voert preventieve of afschrikkende controles uit om te helpen beschermen tegen een aanval die probeert de kwetsbaarheden te exploiteren die in de vorige tabel zijn vermeld.
Cisco IPS-sensoren zijn het meest effectief wanneer ze worden ingezet in inline beschermingsmodus in combinatie met het gebruik van een gebeurtenisactie. Automatische bedreigingspreventie voor Cisco IPS 7.x- en 6.x-sensoren die in de inline-beschermingsmodus worden geïmplementeerd, biedt bedreigingspreventie tegen een aanval die probeert te profiteren van de kwetsbaarheid die in dit document wordt beschreven. De preventie van de bedreiging wordt bereikt door een standaardopheffing die een gebeurtenisactie voor teweeggebrachte handtekeningen met een riskRatingValue groter dan 90 uitvoert.
Voor aanvullende informatie over de risicorating en de berekening van de dreigingswaardering, de referentie Risicorating en de dreigingswaardering: Vereenvoudig IPS-beleidsbeheer.
Cisco-gegevens over IPS-handtekeningen
De volgende gegevens zijn gecompileerd via externe bewakingsservices die worden geleverd door het Cisco Remote Management Services-team uit een voorbeeldgroep van Cisco IPS-sensoren waarop Cisco IPS Signature Update versie S719 of hoger wordt uitgevoerd. Het doel van deze gegevens is om inzicht te geven in pogingen om de kwetsbaarheden te exploiteren die zijn vrijgegeven als deel van de Microsoft May Security Update die op 14 mei 2013 is uitgebracht. Deze data zijn verzameld van gebeurtenissen die werden geactiveerd op 20 mei 2013.
CVE-id Handtekening-ID Percentage sensoren dat de handtekening weergeeft Percentage sensoren dat de handtekening weergeeft onder de tien meest bekeken gebeurtenissen CVE-2013-0096 2210/0 0 0 CVE-2013-1297 2209/0 0 0 CVE-2013-1308 2206/0 0 0 2206/1 0 0 2206/2 0 0 CVE-2013-1309 2195/0 0 0 CVE-2013-1301 2191/0 0 0 CVE-2013-1347 2198/0 0 0 2198/1 0 0 CVE-2013-1311 2221/0 0 0 CVE-2013-1310 2220/0 0 0 CVE-2013-1306 2219/0 0 0 2219/1 0 0 2219/2 0 0 CVE-2013-2551 2227/0 0 0 CVE-2013-1307 2217/0 0 0 CVE-2013-1312 2225/0 0 0 CVE-2013-1305 2222/0 0 0 2222/1 0 0 2222/2 0 0 CVE-2013-1336 2230/0 0 0 Cisco Security Manager
Identificatie: Cisco Security Manager
Cisco Security Manager, gebeurtenisviewer
Beginnend in softwareversie 4.0, kan Cisco Security Manager systemen van Cisco firewalls en Cisco IPS-apparaten verzamelen en het gebeurtenisvenster bieden, dat kan vragen naar gebeurtenissen die gerelateerd zijn aan de kwetsbaarheden die in dit document worden beschreven.
Met behulp van de voorgedefinieerde weergave IPS Alert Events in het Event Viewer kan de gebruiker de volgende zoekstrings in het gebeurtenisfilter invoeren om alle opgenomen gebeurtenissen met betrekking tot de respectieve Cisco IPS-handtekeningen terug te sturen:
- 2210/0
- 2209/0
- 2206/0
- 2206/1
- 2206/2
- 2195/0
- 2191/0
- 2220/0
- 2221/0
- 2219/0
- 2219/1
- 2219/2
- 2227/0
- 2217/0
- 2225/0
- 2222/0
- 2222/1
- 2222/2
- 2230/0
Een Event Type ID-filter kan met de voorgedefinieerde weergave Firewall Denied Events worden gebruikt in het Event Viewer om de syslog-ID’s in de volgende lijst te filteren om alle opgenomen Cisco-firewall te bieden ontkennen syslog-berichten die zouden kunnen wijzen op potentiële pogingen om de kwetsbaarheden te exploiteren die in dit document worden beschreven:
- ASA 5-5-415006 (HTTP-inspectie)
- ASA 5-5-415007 (HTTP-inspectie)
Raadpleeg de sectie Gebeurtenissen filteren en vragen in de Cisco Security Manager-gebruikershandleiding voor meer informatie over Cisco Security Manager-gebeurtenissen.
Cisco Security Manager-rapportbeheer
Beginnend in softwareversie 4.1, ondersteunt Cisco Security Manager de Report Manager, de Cisco IPS Event Reporting-functie. Deze eigenschap staat een beheerder toe om rapporten te bepalen die op de gebeurtenissen van Cisco IPS van belang worden gebaseerd. Rapporten kunnen worden gepland of gebruikers kunnen desgewenst ad-hocrapporten uitvoeren.
Met behulp van Report Manager kan de gebruiker een IPS Top Signatures-rapport definiëren voor Cisco IPS-apparaten die van belang zijn op basis van tijdbereik en handtekeningskenmerken. Wanneer de handtekenings-ID op de volgende manier is ingesteld, genereert Cisco Security Manager een uitgebreid rapport waarin het aantal opgeslagen waarschuwingen voor de handtekening van belang wordt gerangschikt in vergelijking met de som van alle handtekeningwaarschuwingen die in het rapport worden weergegeven:
- 2210/0
- 2209/0
- 2206/0
- 2206/1
- 2206/2
- 2195/0
- 2191/0
- 2220/0
- 2221/0
- 2219/0
- 2219/1
- 2219/2
- 2227/0
- 2217/0
- 2225/0
- 2222/0
- 2222/1
- 2222/2
- 2230/0
Raadpleeg voor meer informatie over IPS Event Reporting van Cisco Security Manager het gedeelte IPS Top Reports van de Cisco Security Manager Gebruikershandleiding.
Identificatie: Event Management System Partner Events
Cisco werkt met toonaangevende Security Information and Event Management (SIEM)-bedrijven via het Cisco Developer Network. Dit partnerschap helpt Cisco gevalideerde en geteste SIEM-systemen te leveren die zakelijke problemen aanpakken zoals langetermijnarchivering van logbestanden en forensische gegevens, heterogene gebeurteniscorrelatie en geavanceerde nalevingsrapportage. Security Information en Event Management-partnerproducten kunnen worden benut om gebeurtenissen van Cisco-apparaten te verzamelen en vervolgens de verzamelde gebeurtenissen te bevragen voor de incidenten die door een Cisco IPS-handtekening zijn gemaakt of syslogberichten van firewalls te ontkennen die kunnen wijzen op potentiële pogingen om de kwetsbaarheden te exploiteren die in dit document worden beschreven. De vragen kunnen worden gesteld door Sig ID en Syslog ID zoals weergegeven in de volgende lijst:
- 2210/2010 Microsoft Internet Explorer WLAN-protocolkwetsbaarheid
- 22090 Microsoft Internet Explorer JSON Array Informatieverschaffing
- 2206/00 Microsoft Internet Explorer gebruiken na gratis kwetsbaarheid
- 2206/1 Microsoft Internet Explorer gebruiken na gratis kwetsbaarheid
- 2206/2 Microsoft Internet Explorer gebruiken na gratis kwetsbaarheid
- 2195/08 Microsoft Internet Explorer Remote Code-uitvoering
- 2191/00 Microsoft Visio Informatie Openbaarmaking
- 2220/08 Microsoft Internet Explorer Use-After-Free willekeurige code-uitvoering
- 2221/0 Microsoft Internet Explorer 6 en 7 gebruiken na gratis kwetsbaarheid
- 2219/00 Microsoft Internet Explorer gebruiken na gratis kwetsbaarheid
- 2219/1 Microsoft Internet Explorer gebruiken na gratis kwetsbaarheid
- 2219/2 Microsoft Internet Explorer gebruiken na gratis kwetsbaarheid
- 2227/08 Microsoft Internet Explorer Memory Corruption-kwetsbaarheid
- 2217/2010 Microsoft Internet Explorer 9 niet-geïnitialiseerde variabelen kwetsbaarheid
- 2225/00 Microsoft Internet Explorer Use-After-Free willekeurige code-uitvoering
- 2222/2010 Microsoft Windows-server HTTP-aanvraag en -ontkenning voor servicekwaliteit
- 2222/1721 Microsoft Windows-server HTTP-aanvraag en -denial-of-service: kwetsbaarheid
- 2222/2 Microsoft Windows Server HTTP-aanvraag en -denial-of-service: kwetsbaarheid
- 2230/2000 Microsoft .NET Framework XML Digital Signature Spoofing
- ASA 5-5-415006 (HTTP-inspectie)
- ASA 5-5-415007 (HTTP-inspectie)
- ACE-5-415006 (HTTP-inspectie)
- ACE-5-415007 (HTTP-inspectie)
Raadpleeg voor meer informatie over SIEM-partners de website Security Management System.
-
DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM DIT DOCUMENT TE ALLEN TIJDE TE WIJZIGEN OF TE ANNULEREN.
-
Versie Beschrijving doorsnede Datum 4 Er is aanvullende informatie over Cisco IPS-handtekeningen beschikbaar. Gegevens van IPS-handtekeningen van Cisco Remote Management Services zijn vanaf 20 mei 2013 beschikbaar voor IPS-handtekeningen. 2013-mei-22 14:06 GMT 3 Er is aanvullende informatie over Cisco IPS-handtekeningen beschikbaar. Gegevens van IPS-handtekeningen van Cisco Remote Management Services zijn vanaf 16 mei 2013 beschikbaar voor IPS-handtekeningen.
2013-mei-17 14:29 GMT 2 Er is aanvullende informatie over de handtekening van Cisco-inbraakpreventiesysteem beschikbaar.
2013-mei-15 20:42 GMT 1 Cisco Applied Mitigation Bulletin eerste publieke release 2013-mei-14 18:02 GMT
-
Volledige informatie over het melden van beveiligingskwetsbaarheden in Cisco-producten, het verkrijgen van assistentie bij beveiligingsincidenten en het registreren om beveiligingsinformatie van Cisco te ontvangen, is beschikbaar op de wereldwijde website van Cisco op https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dit omvat instructies voor persvragen over Cisco-beveiligingsmeldingen. Alle Cisco-beveiligingsadviezen zijn beschikbaar op http://www.cisco.com/go/psirt.
-
De beveiligingskwetsbaarheid is van toepassing op de volgende combinaties van producten.
Primaire producten Microsoft, Inc. .NET Framework 2,0 (SP2) | 3,5 (Basis, SP1) | 3.5.1 (Basis) | 4,0 (basis) | 4,5 (Basis) Internet Explorer 6.0 (Basis, SP1, SP2) | 7,0 (basis) | 8,0 (basis) | 9,0 (basis) | 10,0 (basis) Microsoft Office Communicator 2007 R2 (basis) Microsoft Office Publisher 2003 (basis, SP1, SP2, SP3) | 2007 (Base, SP1, SP2, SP3) | 2010 (Base (32-bit Edition), Base (64-bit Edition), SP1 (32-bit Edition), SP1 (64-bit Edition)) Visio 2003 (SP3) | 2007 (SP3) | 2010 (SP1) Windows 7 voor 32-bits systemen (SP1) | voor op x64 gebaseerde systemen (SP1) Windows 8 voor 32-bits systemen (Base) | voor op x64 gebaseerde systemen (Base) Windows Essentials 2011 (basis) | 2012 (basis) Windows RT Oorspronkelijke release (basis) Windows Server 2003 Datacenter Edition (SP2) | Datacenter Edition, 64-bits (Itanium) (SP2) | Datacenter Edition x64 (AMD/EM64T) (SP2) | Enterprise Edition (SP2) | Enterprise Edition, 64-bits (Itanium) (SP2) | Enterprise Edition x64 (AMD/EM64T) (SP2) | Standard Edition (SP2) | Standard Edition, 64-bits (Itanium) (SP2) | Standard Edition x64 (AMD/EM64T) (SP2) | Web Edition (SP2) Windows Server 2008 Datacenter Edition (SP2) | Datacenter Edition, 64-bits (SP2) | Itanium-gebaseerde Systems Edition (SP2) | Enterprise Edition (SP2) | Enterprise Edition, 64-bits (SP2) | Essential Business Server Standard (SP2) | Essential Business Server Premium (SP2) | Essential Business Server Premium, 64-bits (SP2) | Standard Edition (SP2) | Standard Edition, 64-bits (SP2) | Webserver (SP2) | Webserver, 64-bits (SP2) Windows Server 2008 R2 x64-gebaseerde Systems Edition (SP1) | Itanium-gebaseerde Systems Edition (SP1) Windows Server 2012 Oorspronkelijke release (basis) Windows Vista Home Basic (SP2) | Home Premium (SP2) | Bedrijfsleven (SP2) | Ondernemingen (SP2) | Uiteindelijk (SP2) | Home Basic x64 Edition (SP2) | Home Premium x64 Edition (SP2) | Business x64 Edition (SP2) | Enterprise x64 Edition (SP2) | Ultieme x64-editie (SP2) Woord 2003 (SP3) Word-viewer 2007 (basis) Lync 2010 (basis) Lync Attendee 2010 (basis) Lync-server 2013 (basis)
Verwante producten Microsoft, Inc. Windows 7 voor 32-bits systemen (Base) | voor op x64 gebaseerde systemen (Base) Windows 8 voor 32-bits systemen | voor op x64 gebaseerde systemen Windows RT Oorspronkelijke release Windows Server 2003 Datacenter Edition (basis, SP1) | Datacenter Edition, 64-bits (Itanium) (Base, SP1) | Datacenter Edition x64 (AMD/EM64T) (Base, SP1) | Enterprise Edition (Base, SP1) | Enterprise Edition, 64-bits (Itanium) (Base, SP1) | Enterprise Edition x64 (AMD/EM64T) (Base, SP1) | Standard Edition (Base, SP1) | Standard Edition, 64-bits (Itanium) (Base, SP1) | Standard Edition x64 (AMD/EM64T) (Base, SP1) | Web Edition (Base, SP1) Windows Server 2008 Datacenter Edition (basis, SP1) | Datacenter Edition, 64-bits (basis, SP1) | Itanium-gebaseerde Systems Edition (Base, SP1) | Enterprise Edition (Base, SP1) | Enterprise Edition, 64-bits (basis, SP1) | Essential Business Server Standard (Base, SP1) | Essential Business Server Premium (basis, SP1) | Essential Business Server Premium, 64-bits (basis, SP1) | Standard Edition (Base, SP1) | Standard Edition, 64-bits (basis, SP1) | Webserver (Base, SP1) | Webserver, 64-bits (basis, SP1) Windows Server 2008 R2 x64-gebaseerde Systems Edition (basis) | Itanium-gebaseerde Systems Edition (basis) Windows Server 2012 Oorspronkelijke release Windows Vista Home Basic (basis, SP1) | Home Premium (Base, SP1) | Bedrijfsleven (basis, SP1) | Ondernemingen (Base, SP1) | Uiteindelijk (basis, SP1) | Home Basic x64 Edition (basis, SP1) | Home Premium x64 Edition (basis, SP1) | Business x64 Edition (basis, SP1) | Enterprise x64 Edition (Base, SP1) | Ultieme x64-editie (basis, SP1)
-
DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM WAARSCHUWINGEN TE ALLEN TIJDE TE WIJZIGEN OF BIJ TE WERKEN.
Een standalone kopie of parafrase van de tekst van dit document die de distributie-URL weglaat, is een ongecontroleerde kopie en kan belangrijke informatie missen of feitelijke fouten bevatten. De informatie in dit document is bedoeld voor eindgebruikers van Cisco-producten