Utilisation de signatures de correspondance de chaîne personnalisée Cisco Secure IDS/NetRanger pour débordement de mémoire tampon distant de ver « Code Red » dans l'extension ISAPI de Microsoft Index Server, dans IIS 4.0 et 5.0

Introduction

À la fin de juillet 2003, Computer Economics (un organisme de recherche indépendant situé à Carlsbad, Californie) a estimé que le ver « Code Red » avait coûté aux entreprises 1,2 milliard de dollars (US) en réparation des dommages causés au réseau et en perte de productivité. Cette estimation a augmenté de façon significative avec la libération subséquente du ver plus puissant « Code Red II ». Le système Cisco Secure Intrusion Detection System (IDS), un composant clé du plan Cisco SAFE Blueprint, a démontré sa valeur dans la détection et la réduction des risques de sécurité réseau, y compris le ver « Code Red ».

Ce document décrit une mise à jour logicielle pour détecter la méthode d'exploitation utilisée par le ver « Code Red » (voir Signature 2 ci-dessous).

Vous pouvez créer les signatures de correspondance de chaînes personnalisées indiquées ci-dessous pour intercepter l'exploitation d'un dépassement de tampon pour les serveurs Web exécutant Microsoft Windows NT et Internet Information Services (IIS) 4.0 ou Windows 2000 et IIS 5.0. Notez également que le service d'indexation de Windows XP bêta est également vulnérable. L'avis de sécurité décrivant cette vulnérabilité est disponible à l'adresse http://www.eeye.com/html/Research/Advisories/AD20010618.html. Microsoft a publié un correctif pour cette vulnérabilité qui peut être téléchargé à l'adresse http://www.microsoft.com/technet/security/bulletin/MS01-033.mspx.

Les signatures décrites dans ce document sont devenues disponibles dans la version de mise à jour des signatures S(5). Cisco Systems recommande de mettre à niveau les capteurs vers la version 2.2.1.8 ou 2.5(1)S3 avant d'implémenter cette signature. Les utilisateurs inscrits peuvent télécharger ces mises à jour de signatures à partir du Cisco Secure Software Center. Tous les utilisateurs peuvent contacter l'assistance technique de Cisco par e-mail ou par téléphone via les contacts internationaux de Cisco.

Conditions préalables

Exigences

Aucune exigence spécifique n'est associée à ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions logicielles suivantes :

• Microsoft Windows NT et IIS 4.0

• Microsoft Windows 2000 et IIS 5.0

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Signatures de correspondance de chaîne personnalisées

Il existe deux signatures de correspondance de chaîne personnalisées spécifiques pour résoudre ce problème. Chaque signature est décrite ci-dessous et les paramètres de produit applicables sont fournis.

Signature 1 - Accès au serveur d'index avec tentative d'exploitation

Cette signature se déclenche lors d'une tentative de débordement de la mémoire tampon sur l'extension ISAPI du serveur d'indexation, combinée à une tentative de transmission du code shell au serveur pour obtenir un accès privilégié sous la forme d'origine du code. La signature se déclenche uniquement lors de la tentative de transmission du code shell au service cible dans le but d'obtenir un accès complet au niveau SYSTEM. Un problème possible est que cette signature ne se déclenche pas si l'attaquant n'essaie pas de passer un code shell, mais exécute simplement le dépassement de tampon sur le service dans une tentative de planter IIS et de créer un déni de service.

Chaîne (string)

[Gg][Ee][Tt].*[.][Ii][Dd][Aa][\x00-\x7f]+[\x80-\xff]

Paramètres du produit

• Occurrences : 1

• Port : 80

Remarque : si des serveurs Web écoutent sur d'autres ports TCP (par exemple, 8080), vous devez créer une correspondance de chaîne personnalisée distincte pour chaque numéro de port.

• Niveau de gravité d'alarme recommandé :

  • Élevé (Cisco Secure Policy Manager)

  • 5 (Unix Director)

• Direction:

  PAR 

Signature 2 - Vers « Code Red » De Débordement De La Mémoire Tampon D'Accès Au Serveur D'Index

La deuxième signature se déclenche lors d'une tentative de débordement de la mémoire tampon sur l'extension ISAPI du serveur d'indexation, combinée à une tentative de transmission du code shell au serveur pour obtenir un accès privilégié sous la forme obfusquée utilisée par le ver « Code Red ». Cette signature se déclenche uniquement lors de la tentative de transmission du code shell au service cible dans le but d'obtenir un accès complet au niveau SYSTEM. Un problème possible est que cette signature ne se déclenche pas si l'attaquant n'essaie pas de passer un code shell, mais exécute simplement le dépassement de tampon sur le service dans une tentative de planter IIS et de créer un déni de service.

Chaîne (string)

[/]default[.]ida[?][a-zA-Z0-9]+%u

Remarque : la chaîne ci-dessus ne contient pas d'espace.

Paramètres du produit

• Occurrences : 1

• Port : 80

Remarque : si des serveurs Web écoutent sur d'autres ports TCP (par exemple, 8080), vous devez créer une correspondance de chaîne personnalisée distincte pour chaque numéro de port.

• Niveau de gravité d'alarme recommandé :

  • Élevé (Cisco Secure Policy Manager)

  • 5 (Unix Director)

• Direction:

  PAR 

Pour plus d'informations sur Cisco Secure IDS, référez-vous à Cisco Secure Intrusion Detection.

Informations connexes

• Assistance technique - Routeurs
• Avis de sécurité Cisco
• Page d'assistance Cisco Secure Intrusion Detection
• Support technique - Cisco Systems