Cisco Applied Mitigation Bulletin: Microsoft Security Bulletin release voor augustus 2013

Bijgewerkt:6 augustus 2016
Document-id:1470489857554119

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Cisco-bulletin over toegepaste beperking

Cisco Applied Mitigation Bulletin: Microsoft Security Bulletin release voor augustus 2013

Doc ID:
30338
Voor het eerst gepubliceerd:
2013 augustus 13 18:10 GMT
Laatst bijgewerkt:
20 augustus 26 13:38 GMT
Versie: 
3
CVE-2013-2393
CVE-2013-2556
CVE-2013-3175
Meer...
CWE-94
CVE-2013-2393
CVE-2013-2556
CVE-2013-3175
Meer...
CWE-94

Cisco Response

  • Microsoft kondigde acht veiligheidsbulletins aan die 23 kwetsbaarheden aanpakken als deel van het maandelijkse veiligheidsbulletin release op 13 augustus 2013. Een samenvatting van deze bulletins vindt u op de Microsoft-website op http://technet.microsoft.com/en-us/security/bulletin/ms13-aug. Dit document biedt identificatie- en onderdrukkingstechnieken die beheerders op Cisco-netwerkapparaten kunnen implementeren.

    De kwetsbaarheden die een client software aanvalsvector hebben, kunnen lokaal op het kwetsbare apparaat worden geëxploiteerd, vereisen gebruikersinteractie, of kunnen worden geëxploiteerd met behulp van web-based aanvallen (deze omvatten maar zijn niet beperkt tot cross-site scripting, phishing en web-based e-mailbedreigingen) en e-mailbijlagen zijn in de volgende lijst:

    De kwetsbaarheden die een netwerkmatiging hebben zijn in de volgende lijst. Cisco-apparaten bieden verschillende tegenmaatregelen voor de kwetsbaarheden van een netwerkaanvalsvector, die later in dit document in detail wordt besproken.

    Informatie over getroffen en onaangetaste producten is beschikbaar in de respectieve Microsoft Advisories en de Cisco Alerts die worden genoemd in Cisco Event Response: Microsoft Security Bulletin release voor augustus 2013.

    Daarnaast maken meerdere Cisco-producten gebruik van Microsoft-besturingssystemen als hun basisbesturingssysteem. Cisco-producten die kunnen worden beïnvloed door de kwetsbaarheden die in de Microsoft Advisories met referenties worden beschreven, worden gedetailleerd in de tabel "Bijbehorende producten" in de sectie "Productsets".

Kwetsbaarheid Kenmerken

  • MS13-059, Cumulative Security Update voor Internet Explorer (2862772): Deze kwetsbaarheden zijn toegewezen de Gemeenschappelijke Kwetsbaarheid en Blootstellingen (CVE) identificatoren CVE-2013-3184, CVE-2013-3186, CVE-2013-3187, CVE-2013-3188, CVE-2013-3189, CVE-20 3-3190, CVE-2013-3191, CVE-2013-3192, CVE-2013-3193, CVE-2013-3194 en CVE-2013-3199. Deze kwetsbaarheden kunnen op afstand worden benut zonder authenticatie en zonder gebruikersinteractie. De aanvalsvector voor de exploitatie van deze kwetsbaarheden is via HTTP-pakketten, die doorgaans TCP-poort 80 gebruiken maar ook TCP-poorten 3128, 8000, 8010, 8080, 8888 en 24326 kunnen gebruiken.

    Succesvolle exploitatie van de kwetsbaarheden die verband houden met CVE-2013-3184, CVE-2013-3187, CVE-2013-3188, CVE-2013-3189, CVE-2013-3190, CVE-2013-3191, CVE-2013-3193, CVE-2 013-3194 en CVE-2013-3199 kunnen het uitvoeren van code op afstand toestaan. Er zullen in dit bulletin geen netwerkbeperkingen worden gepresenteerd voor deze kwetsbaarheden.

    Succesvolle uitbuiting van de kwetsbaarheid die is geassocieerd met CVE-2013-3186 kan het verhogen van voorrechten toestaan. Geen netwerkmatigingen zal in dit bulletin voor deze kwetsbaarheid worden voorgesteld.

    Succesvolle exploitatie van de kwetsbaarheid die met CVE-2013-3192 wordt geassocieerd kan informatieonthulling toestaan, die een aanvaller toelaat om informatie over het beïnvloede apparaat te leren. Cross-site scripting en phishing kunnen ook worden gebruikt om deze kwetsbaarheid te exploiteren. Vanwege de aard van cross-site scripting kwetsbaarheden, zal geen extra informatie in dit bulletin voor deze kwetsbaarheid worden gepresenteerd.

    Raadpleeg voor extra informatie over aanvallen met cross-site scripting en de methoden die zijn gebruikt om deze kwetsbaarheden te exploiteren het Cisco Applied Mitigation Bulletin Understanding Cross-Site Scripting (XSS) Threat Vectors.

    MS13-060, Vulnerability in Unicode Scripts Processor Kan Remote Code Execution (2850869) toestaan: Deze kwetsbaarheid is toegewezen CVE-identificatie CVE-2013-3181. Deze kwetsbaarheid kan op afstand worden misbruikt, zonder authenticatie, en vereist interactie met de gebruiker. Als deze kwetsbaarheid met succes wordt benut, kan willekeurige code worden uitgevoerd. De aanvalsvector voor exploitatie is via de rendering van een gemaakt Embedded OpenType (EOT) lettertype in toepassingen zoals Microsoft Internet Explorer, Microsoft Office PowerPoint, of Microsoft Office Word. De potentiële exploitatie van deze kwetsbaarheid gebruikt web-based bedreigingen, en de exploitatie kan door het gebruik van HTTP-pakketten zijn, die typisch TCP-poort 80 gebruiken maar ook TCP-poorten 3128, 8000, 8010, 8080, 8888 en 24326 kunnen gebruiken. Deze kwetsbaarheid kan worden benut via webgebaseerde bedreigingen (deze omvatten maar zijn niet beperkt tot cross-site scripting, phishing en webgebaseerde e-mail), e-mailbijlagen en bestanden die zijn opgeslagen op netwerkaandelen.

    De Cisco ASA 5500 Series adaptieve security applicatie, Cisco Catalyst 6500 Series ASA servicesmodule (ASM), Cisco Firewall Services Module (FWSM) voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers, en Cisco ACE Application Control Engine applicatie en module bieden bescherming voor potentiële pogingen om deze kwetsbaarheid te exploiteren (een onderwerp dat in dit document is opgenomen).

    MS13-064, Vulnerability in Direct Access Server Kan Ontkenning van de Dienst toestaan (2849568): Deze kwetsbaarheid is toegewezen CVE-herkenningsteken CVE-2013-3182. Deze kwetsbaarheid kan op afstand worden geëxploiteerd zonder authenticatie en zonder gebruikersinteractie. Succesvolle benutting van deze kwetsbaarheid kan resulteren in een denial of service-omstandigheid (DoS). Herhaalde pogingen om gebruik te maken van deze kwetsbaarheid kunnen resulteren in een aanhoudende DoS-conditie. De aanvalsvector gebruikt ICMPv6-pakketten. Een aanvaller kon deze kwetsbaarheid exploiteren met spoofed pakketten.

    Cisco ASA 5500 Series adaptieve security applicatie, Cisco Catalyst 6500 Series ASA servicesmodule (ASM) en Cisco Firewall Services Module (FWSM) voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers bieden bescherming voor potentiële pogingen om deze kwetsbaarheid te exploiteren (een onderwerp dat in dit document is opgenomen).

    MS13-065, Vulnerability in ICMPv6 Kon Ontkenning van de Dienst toestaan (2868623): Deze kwetsbaarheid is toegewezen CVE-herkenningsteken CVE-2013-3182. Deze kwetsbaarheid kan op afstand worden geëxploiteerd zonder authenticatie en zonder gebruikersinteractie. Succesvolle exploitatie van deze kwetsbaarheid kan resulteren in een DoS-voorwaarde. Herhaalde pogingen om gebruik te maken van deze kwetsbaarheid kunnen resulteren in een aanhoudende DoS-conditie. De aanvalsvector gebruikt ICMPv6-pakketten. Een aanvaller kon deze kwetsbaarheid exploiteren met spoofed pakketten.

    Cisco ASA 5500 Series adaptieve security applicatie, Cisco Catalyst 6500 Series ASA servicesmodule (ASM) en Cisco Firewall Services Module (FWSM) voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers bieden bescherming voor potentiële pogingen om deze kwetsbaarheid te exploiteren (een onderwerp dat in dit document is opgenomen).

Overzicht van kwetsbaarheden

Overzicht Mitigation Technique

  • De kwetsbaarheden die een client software aanvalsvector hebben, kunnen lokaal op het kwetsbare apparaat worden geëxploiteerd, vereisen gebruikersinteractie, of kunnen worden geëxploiteerd met behulp van web-based aanvallen (deze omvatten maar zijn niet beperkt tot cross-site scripting, phishing en web-based e-mailbedreigingen) en e-mailbijlagen zijn in de volgende lijst:

    Deze kwetsbaarheden worden het meest met succes op het eindpunt verlicht door software-updates, gebruikersonderwijs, best practices voor desktopbeheer en endpointbeveiligingssoftware zoals host inbraakpreventiesystemen (HIPS) of antivirusproducten.

    De kwetsbaarheden die een netwerkmatiging hebben zijn in de volgende lijst. Cisco-apparaten bieden hiervoor verschillende tegenmaatregelen. In dit gedeelte van het document wordt een overzicht van deze technieken gegeven.

    Cisco IOS-software kan effectieve middelen voor explosiepreventie bieden door gebruik te maken van de volgende methoden:

    • IPv6 Unicast Reverse Path Forwarding (uRPF)
    • IPv6-beveiliging van eerste hop (FHS)

    Deze beschermingsmechanismen filteren en vallen, en verifiëren het bron-IP-adres van pakketten die proberen de kwetsbaarheden te exploiteren die een netwerkaanvalsvector hebben.

    De juiste implementatie en configuratie van IPv6 uRPF biedt een effectieve bescherming tegen aanvallen die pakketten met gespoofde IP-bronadressen gebruiken. Unicast RPF moet zo dicht mogelijk bij alle verkeersbronnen worden geïmplementeerd.

    De juiste implementatie en configuratie van IPv6 First Hop Security (FHS) biedt een effectieve bescherming tegen Layer 2 IPv6-aanvallen die kunnen worden gebruikt om MS13-064 en MS13-065 te exploiteren. In dit document worden geen nadere details over de invoering van FHS gegeven. Zie IPv6 First Hop Security (FHS) voor meer informatie over FHS.

    Omdat het potentieel bestaat dat een vertrouwde netwerkclient kan worden beïnvloed door schadelijke code die geen pakketten met spoofed-bronadressen gebruikt, bieden IPv6 uRPF en FHS geen volledige bescherming tegen deze kwetsbaarheden.

    Effectieve explosiepreventie kan ook worden geboden door de Cisco ASA 5500 Series adaptieve security applicatie, Cisco Catalyst 6500 Series ASA servicesmodule (ASM) en de Firewall Services Module (FWSM) voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers met de volgende methoden:

    • Layer 3/Layer 4-inspectie
    • Toepassingslaag voor protocolinspectie

    De Cisco ACE-applicatie en module voor Application Control Engine kunnen ook een effectieve bescherming bieden door gebruik te maken van toepassingsprotocolinspectie.

    Cisco IOS-software, Cisco ASA, Cisco ASM, Cisco FWSM-firewalls en Cisco ACE Application Control Engine-applicatie en -module kunnen zichtbaarheid bieden door middel van syslogberichten en tegenwaarden die in de uitvoer van show-opdrachten worden weergegeven.

    Effectief gebruik van de gebeurtenisacties van Cisco Inbraakpreventiesysteem (IPS) biedt zichtbaarheid in en bescherming tegen aanvallen die proberen deze kwetsbaarheden te exploiteren zoals later in dit document besproken.

    De Cisco Security Manager kan ook zichtbaarheid bieden via incidenten, vragen en gebeurtenisrapportage.

Risicobeheer

  • Organisaties wordt aangeraden hun standaard risicobeoordelings- en risicobeperkingsprocessen te volgen om de potentiële impact van deze kwetsbaarheden te bepalen. Triage verwijst naar het sorteren van projecten en het prioriteren van inspanningen die waarschijnlijk het meest succesvol zullen zijn. Cisco heeft documenten geleverd die organisaties kunnen helpen bij de ontwikkeling van een op risico gebaseerde triagecapaciteit voor hun informatieveiligheidsteams. Risico Triage voor Security Vulnerability aankondigingen en Risk Triage en Prototyping kunnen organisaties helpen herhaalbare security evaluatie- en reactieprocessen te ontwikkelen.

Apparaatspecifieke beperking en identificatie

  • Waarschuwing: de effectiviteit van elke mitigatietechniek hangt af van specifieke klantsituaties, zoals productmix, netwerktopologie, verkeersgedrag en organisatorische missie. Zoals bij elke configuratiewijziging, evalueer het effect van deze configuratie voordat u de wijziging toepast.

    Voor deze hulpmiddelen is specifieke informatie over beperking en identificatie beschikbaar:

    Cisco IOS-routers en -Switches

    Beperken: bescherming tegen spoofing

    Beperking: IPv6-spoofingbescherming met Unicast Reverse Path Forwarding

    Sommige kwetsbaarheden die in dit document worden beschreven, hebben aanvalsvectoren die door gespoofde IPv6-pakketten kunnen worden geëxploiteerd. De juiste implementatie en configuratie van IPv6 Unicast Reverse Path Forwarding (uRPF) kan beschermingsmechanismen bieden voor spoofing met betrekking tot de volgende kwetsbaarheden:

    uRPF is ingesteld op interfaceniveau en kan pakketten detecteren en neerzetten die geen verifieerbaar IP-bronadres hebben. Beheerders dienen niet te vertrouwen op uRPF om volledige bescherming tegen spoofing te bieden, omdat spoofed-pakketten het netwerk via een uRPF-enabled interface kunnen binnenkomen als er een geschikte retourroute naar het bron-IP-adres bestaat. Beheerders wordt aangeraden om ervoor te zorgen dat de juiste uRPF-modus (los of strikt) wordt geconfigureerd tijdens de implementatie van deze functie, omdat legitiem verkeer dat het netwerk doorkruist kan worden uitgeschakeld. In een ondernemingsmilieu, kan uRPF bij de rand van Internet en de interne toegangslaag op gebruiker-ondersteunende Layer 3 worden toegelaten interfaces.

    Voor extra informatie over de configuratie en het gebruik van uRPF, raadpleegt u het Witboek Understanding Unicast Reverse Path Forwarding Cisco Security Intelligence Operations.

    Identificatie: bescherming tegen spoofing met Unicast Reverse Path Forwarding

    Met uRPF correct geïmplementeerd en geconfigureerd door de netwerkinfrastructuur, kunnen beheerders de show cef interface type sleuf/poort intern gebruiken, ipv6 interface tonen, de functie ipv6 cef switching statistieken tonen, en ipv6 traffic opdrachten tonen om het aantal pakketten dat uRPF heeft laten vallen te identificeren.

    Opmerking: vanaf Cisco IOS-softwarerelease 12.4(20)T is de opdracht tonen dat ipv6 cef-switching is vervangen door show ipv6 cef-switching statistieken feature.

    Opmerking: De show commando | begin regex en toon commando | omvat regex commando modifiers worden gebruikt in de volgende voorbeelden om de hoeveelheid output te minimaliseren die beheerders moeten parseren om de gewenste informatie te bekijken. Er is aanvullende informatie over opdrachtbepalingen in de secties met de opdracht show van de opdrachtreferentie voor Cisco IOS Configuration Fundamentals.

    router#show cef interface GigabitEthernet 0/0 internal | include drop
  ip verify: via=rx (allow default), acl=0, drop=18, sdrop=0
  IPv6 unicast RPF: via=rx acl=None, drop=10, sdrop=0
router#

    Opmerking: tonen cef interface type sleuf / poort intern is een verborgen opdracht die volledig moet worden ingevoerd op de opdrachtregel interface. Opdrachtvoltooiing is er niet voor beschikbaar.

    router#show ipv6 interface GigabitEthernet 0/0 | section IPv6 verify

  IPv6 verify source reachable-via rx 
  0 verification drop(s) (process), 10 (CEF)
  0 suppressed verification drop(s) (process), 0 (CEF)
  --      CLI Output Truncated       --  
router#

router#show ipv6 cef switching statistics feature

IPv6 CEF input features:
Feature                       Drop   Consume   Punt   Punt2Host   Gave route
RP LES Verify Unicast R         10         0      0           0            0
Total                           10         0      0           0            0
    --      CLI Output Truncated       --  
router#

router#show ipv6 traffic | include RPF
         10 RPF drops, 0 RPF suppressed, 0 forced drop
router#

    In de voorafgaande show cef interface type sleuf/poort interntonen ipv6 interface type sleuf/poort, tonen ipv6 cef switching statistieken functie, en tonen ipv6 verkeer voorbeelden, uRPF is gedaald 10 IPv6-pakketten globaal ontvangen op alle interfaces met IPv6 uRPF geconfigureerd vanwege het onvermogen om het bronadres van de IP-pakketten te verifiëren binnen de gegevensbank voor doorsturen van Cisco Express Forwarding.


    Cisco ASA, Cisco ASM en Cisco FWSM-firewalls

    Beperken: ICMP-inspectie

    Voor MS13-064 en MS13-065 kunnen beheerders Layer 3/Layer 4-inspectie configureren met behulp van de protocolinspectie-engine op de Cisco ASA 5500 Series adaptieve security applicaties, Cisco 6500 Series ASA-servicesmodules en de Cisco Firewall Services Module. Ze gebruiken klassekaarten en beleidskaarten. Deze methodes kunnen helpen tegen specifieke kwetsbaarheden, zoals CVE-2013-3182 en CVE-2013-3183 beschermen. De volgende ICMP-inspectieconfiguratie gebruikt het Cisco Modular Policy Framework (MPF) om een beleid te maken voor inspectie van ICMP-verkeer. Het ICMP-inspectiebeleid zal verbindingen laten vallen waar de ICMPv6-pakketten niet reageren op legitieme ICMPv6-verzoeken. Voor de volgende configuratie wordt ervan uitgegaan dat ICMPv6-pakketten die vanuit de buiteninterface zijn geïnitieerd en bestemd zijn voor kwetsbare apparaten binnen de firewall, zo zijn geconfigureerd dat ze worden gedropt door de toegangslijst die op de buiteninterface is toegepast.

    ! !-- Configure ICMP inspection to drop ICMP packets associated !-- with MS13-064 and MS13-065 ! 
policy-map global_policy
 class inspection_default
  inspect icmp 
  inspect icmp error

service-policy global_policy global

    Aanvullende informatie over de inspectie van het toepassingslaag is in de sectie Use Modular Policy Framework van de Cisco ASA 5500 Series Configuration Guide die gebruik maakt van de CLI, 8.2 en de sectie Configuration a Service Policy van de Cisco Catalyst 6500 Series ASA Services Module CLI Configuration Guide, 8.4.

    Identificatie: ICMP-inspectie

    Er wordt een firewallsyslog-bericht 106014 gegenereerd wanneer een toegangslijst een ICMPv6-pakket weigert. Het syslogbericht identificeert het corresponderende ICMPv6-type en de code, alsook de bron en de bestemming van het gedropte pakket. Raadpleeg voor meer informatie Cisco ASA 5500 Series systeemlogbericht, 8.2 - 41506.

    Er worden firewallsyslog-berichten 313004 en 313005 gegenereerd wanneer een ICMP-bericht wordt gedropt door beveiligingscontroles die door de stateful ICMP-functie worden toegevoegd. Deze berichten zijn meestal of ICMP-echoantwoorden zonder een geldig echoverzoek dat al over de ASA of ICMP-foutmeldingen is doorgegeven die niet gerelateerd zijn aan TCP-, UDP- of ICMP-sessies die al in de firewall zijn ingesteld. Raadpleeg voor meer informatie Cisco ASA 5500 Series systeemlogbericht, 8.2 - 31304.

    Er wordt een firewallsyslog-bericht 313009 gegenereerd wanneer een ICMP-bericht wordt gedropt door de beveiligingscontroles die door de stateful ICMP-functie worden toegevoegd. Deze berichten zijn meestal of ICMP-echoantwoorden zonder een geldig echoverzoek dat al over de ASA of ICMP-foutmeldingen is doorgegeven die niet gerelateerd zijn aan TCP-, UDP- of ICMP-sessies die al in de firewall zijn vastgesteld. Raadpleeg voor meer informatie Cisco ASA 5500 Series systeemlogbericht, 8.2 - 31309.

    Informatie over het configureren van syslog voor de Cisco ASA 5500 Series adaptieve security applicatie is beschikbaar in Monitoring - Configuration Logging. Informatie over het configureren van syslog voor Cisco Catalyst 6500 Series ASA-servicesmodule bevindt zich in Vastlegging configureren. De informatie over het configureren van syslog op de FWSM voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers is beschikbaar in Monitoring the Firewall Services Module.

    In het volgende voorbeeld, de show vastlegging | groene kaart|ICMP Het bevel haalt syslog berichten uit de het registreren buffer op de firewall. Deze berichten verstrekken extra informatie over ontkende pakketten die op pogingen konden wijzen om deze kwetsbaarheid te exploiteren. Beheerders kunnen verschillende reguliere expressies gebruiken met het grep-sleutelwoord om te zoeken naar specifieke gegevens in de geregistreerde berichten.

    firewall#show logging | grep icmp|ICMP
  Aug 13 2013 14:35:54: %ASA-3-106014: Deny inbound icmp src outside:2001:db8:1:100::1 
         dst inside:2001:db8:60::1 (type 1, code 0)]
  Aug 13 2013 14:35:55: %ASA-4-313004:Denied ICMP type=9, from 2001:db8:1:100::1 
         on interface outside to inside:2001:db8:60::4 no matching session

    Als ICMP-inspectie is ingeschakeld, zal de opdracht show service policy het aantal ICMP-pakketten identificeren die door deze functie worden geïnspecteerd en gedropt. Het volgende voorbeeld toont output voor show service-policy:

    firewall# show service-policy 

Global policy:
  Service-policy: global_policy
    Class-map: inspection_default
      Inspect: dns preset_dns_map, packet 0, drop 0, reset-drop 0
      Inspect: ftp, packet 0, drop 0, reset-drop 0
      Inspect: rsh, packet 0, drop 0, reset-drop 0
      Inspect: sunrpc, packet 0, drop 0, reset-drop 0
      Inspect: tftp, packet 0, drop 0, reset-drop 0
               tcp-proxy: bytes in buffer 0, bytes dropped 0
      Inspect: icmp, packet 110, drop 20, reset-drop 0
      Inspect: icmp error, packet 20, drop 11, reset-drop 0

    In het vorige voorbeeld zijn 130 ICMP-pakketten geïnspecteerd en zijn 31 pakketten gevallen.

    Beperking: Application Layer Protocol Inspectie

    Application Layer Protocol inspection is beschikbaar vanaf softwarerelease 7.2(1) voor Cisco ASA 5500 Series adaptieve security applicatie, softwarerelease 8.5 voor Cisco Catalyst 6500 Series ASA servicesmodule en in softwarerelease 4.0(1) voor Cisco Firewall Services Module. Deze geavanceerde beveiligingsfunctie voert een diepe pakketinspectie uit van verkeer dat door de firewall loopt. Beheerders kunnen een inspectiebeleid opstellen voor toepassingen die een speciale behandeling vereisen door middel van de configuratie van kaarten van inspectieklasse en kaarten van het inspectiebeleid, die door middel van een globaal of interfacedienstenbeleid worden toegepast.

    Aanvullende informatie over inspectie van toepassingslaagprotocollen is in de sectie Configuration Application Layer Inspection van de Cisco ASA 5500 Series Configuration Guide waarin de CLI, 8.2 en de sectie Configuration Application Inspection van de Cisco Catalyst 6500 Series ASA Services Module CLI Configuration Guide, 8.5 worden gebruikt.

    Waarschuwing: Application Layer Protocol inspection verlaagt de prestaties van de firewall. Beheerders wordt aangeraden om de invloed op de prestaties te testen in een laboratoriumomgeving voordat deze functie wordt geïmplementeerd in productieomgevingen.

    HTTP-toepassingsinspectie
    Voor MS13-060 kunnen beheerders via de HTTP-inspectieengine op de Cisco ASA 5500 Series adaptieve security applicaties, Cisco 6500 Series ASA-servicesmodules en de Cisco Firewall Services Module reguliere expressies (regexes) configureren voor patroonmatching en kaarten van inspectieklasse en kaarten van inspectiebeleid. Deze methodes kunnen helpen tegen specifieke kwetsbaarheden, zoals CVE-2013-3181, en andere bedreigingen beschermen die met HTTP-verkeer kunnen worden geassocieerd. De volgende configuratie van HTTP-toepassingsinspectie gebruikt het Cisco Modular Policy Framework (MPF) om een beleid te maken voor inspectie van verkeer op TCP-poorten 80, 3128, 8000, 8010, 8080, 8888 en 24326. Dit zijn de standaardpoorten voor de variabele Cisco IPS #WEBPORTS. Het beleid van de de toepassingsinspectie van HTTP zal verbindingen laten vallen waar het HTTP- reactielichaam om het even welke regexes bevat die worden gevormd om de controle aan te passen ActiveX die met deze kwetsbaarheid wordt geassocieerd.

    Waarschuwing: de geconfigureerde regexes kan tekststrings op elke locatie in de hoofdtekst van een HTML-respons aan. Zorg ervoor dat legitieme bedrijfstoepassingen die bijpassende tekstkoorden gebruiken zonder de ActiveX-controle te bellen, niet worden beïnvloed. De extra informatie over syntaxis regex is in het Creëren van een Reguliere Expressie.

    Aanvullende informatie over ActiveX-explosies en -beperkingen die gebruikmaken van Cisco-firewalltechnologieën is beschikbaar in het witboek Preventing ActiveX Exploits with Cisco Firewall Application Layer Inspection Cisco Security Intelligence Operations.

    ! !-- Configure a case-insensitive (upper and lower case) regex !-- that matches the file extension of ".eot" that is typically !-- associated with Embedded OpenType (EOT) font files that are !-- associated with MS13-060 ! 
regex MS13-060_regex ".+\x2e[Ee][Oo][Tt]"

! !-- Configure an object group for the default ports that !-- are used by the Cisco IPS #WEBPORTS variable, which !-- are TCP ports 80 (www), 3128, 8000, 8010, 8080, 8888, !-- and 24326 !
object-group service WEBPORTS tcp
 port-object eq www 
 port-object eq 3128 
 port-object eq 8000 
 port-object eq 8010 
 port-object eq 8080 
 port-object eq 8888 
 port-object eq 24326 
! !-- Configure an access list that uses the WEBPORTS object !-- group, which will be used to match TCP packets that !-- are destined to the #WEBPORTS variable that is used !-- by a Cisco IPS device !
access-list Webports_ACL extended permit tcp any any object-group WEBPORTS 
! !-- Configure a class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable !
class-map Webports_Class
 match access-list Webports_ACL
! !-- Configure an HTTP application inspection policy that !-- identifies, drops, and logs connections that contain !-- the regexes that are configured above ! policy-map type inspect http MS_Aug_2013_policy
 parameters
! !-- "body-match-maximum" indicates the maximum number of !-- characters in the body of an HTTP message that !-- should be searched in a body match. The default value is !-- 200 bytes. A large number such as shown here may have an !-- impact on system performance. Administrators are advised !-- to test performance impact in a lab environment before !-- this command is deployed in production environments !  body-match-maximum 1380
 match response body regex MS13-060_regex  
  drop-connection log  
! !-- Add the above-configured "Webports_Class" that matches !-- TCP packets that are destined to the default ports !-- that are used by the Cisco IPS #WEBPORTS variable to !-- the default policy "global_policy" and use it to !-- inspect HTTP traffic that transits the firewall ! 
policy-map global_policy
 class Webports_Class
  inspect http MS_Aug_2013_policy  ! !-- By default, the policy "global_policy" is applied !-- globally, which results in the inspection of !-- traffic that enters the firewall from all interfaces !
service-policy global_policy global

    Raadpleeg de Cisco ASA 5500 Series Configuration Guide in combinatie met de CLI, 8.2 voor het configureren van objectgroepen en de sectie Config Objecten en Toegangslijsten van de Cisco Catalyst 6500 Series ASA Services Module CLI Configuration Guide, 8.5. voor extra informatie over de configuratie en het gebruik van objectgroepen.

    Aanvullende informatie over HTTP-toepassingsinspectie en de MPF is in de sectie HTTP-inspectie - Overzicht van de Cisco ASA 5500 Series configuratiehandleiding die de CLI, 8.2 gebruikt.

    Identificatie: Application Layer Protocol Inspection

    Er wordt een firewallsyslog-bericht 415006 gegenereerd wanneer de URI een door de gebruiker gedefinieerde reguliere expressie weergeeft. Het syslogbericht identificeert de bijbehorende HTTP-klasse en het HTTP-beleid en geeft de actie aan die is toegepast op de HTTP-verbinding. Aanvullende informatie over dit syslogbericht wordt weergegeven in Cisco ASA 5500 Series systeemlogbericht, 8.2 - 415006.

    Er wordt een firewallsyslog-bericht 415007 gegenereerd wanneer een HTTP-berichttekst overeenkomt met een door de gebruiker gedefinieerde reguliere expressie. Het syslogbericht identificeert de bijbehorende HTTP-klasse en het HTTP-beleid en geeft de actie aan die is toegepast op de HTTP-verbinding. Aanvullende informatie over dit syslogbericht wordt weergegeven in Cisco ASA 5500 Series systeemlogbericht, 8.2 - 415007.

    Informatie over het configureren van syslog voor de Cisco ASA 5500 Series adaptieve security applicatie is beschikbaar in Monitoring - Configuration Logging. Informatie over het configureren van syslog voor Cisco Catalyst 6500 Series ASA-servicesmodule bevindt zich in Vastlegging configureren. De informatie over het configureren van syslog op de FWSM voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers is beschikbaar in Monitoring the Firewall Services Module.

    In het volgende voorbeeld, de show vastlegging | grep regex opdracht haalt syslog berichten uit de logboekbuffer op de firewall. Deze berichten verstrekken extra informatie over ontkende pakketten die op pogingen konden wijzen om deze kwetsbaarheid te exploiteren. Beheerders kunnen verschillende reguliere expressies gebruiken met het grep-sleutelwoord om te zoeken naar specifieke gegevens in de geregistreerde berichten.

    Aanvullende informatie over de syntaxis van reguliere expressies is te vinden in Create a Regular Expression.

    HTTP-toepassingsinspectie

    firewall#show logging | grep 415007
  Aug 13 2013 14:35:54: %ASA-5-415007: HTTP - matched match response 
         body regex MS13-060_regex in policy-map MS_Aug_2013_policy, Body 
         matched - Dropping connection from inside:192.168.60.85/2130 
         to outside:192.0.2.63/80
  Aug 13 2013 14:35:55: %ASA-5-415007: HTTP - matched match response 
         body regex MS13-060_regex in policy-map MS_Aug_2013_policy, Body 
         matched - Dropping connection from inside:192.168.60.86/2133 to 
         outside:192.0.2.63/80

    Als HTTP-toepassingsinspectie is ingeschakeld, zal de opdracht Protocol inspecteren voor show-service het aantal HTTP-pakketten identificeren die door deze functie worden geïnspecteerd en gedropt. Het volgende voorbeeld toont output voor show service-policy inspect http:

    firewall# show service-policy inspect http
Global policy: 
  Service-policy: global_policy
    Class-map: inspection_default
    Class-map: Webports_Class
      Inspect: http MS_Aug_2013_policy, packet 5025, drop 20, reset-drop 0
       protocol violations
          packet 0        
       match response body regex MS13-060_regex
         drop-connection log, packet 13

    In het vorige voorbeeld zijn 5025 HTTP-pakketten geïnspecteerd en zijn 13 HTTP-pakketten gevallen.


    Cisco ACE

    Beperken: Application Protocol Inspection

    Application Protocol inspection is beschikbaar voor de Cisco ACE-applicatie en module voor Application Control Engine. Deze geavanceerde beveiligingsfunctie voert een diepe pakketinspectie uit van verkeer dat het Cisco ACE-apparaat doorvoert. De beheerders kunnen een inspectiebeleid voor toepassingen construeren die speciale behandeling door de configuratie van de kaarten van de inspectieklasse en de kaarten van het inspectiebeleid vereisen, die via een globaal of interfacebeleid worden toegepast.

    Aanvullende informatie over inspectie van toepassingsprotocollen vindt u in de sectie Configuration Application Protocol Inspection van de Cisco ACE 4700 Series configuratiehandleiding voor applicatie security.

    HTTP-pakketcontrole voor diep gebruik

    Om HTTP diepe pakketinspectie voor MS13-060 uit te voeren, kunnen beheerders reguliere expressies (regexes) configureren voor patroonmatching en inspectieklassekaarten en inspectiebeleidskaarten samenstellen. Deze methodes kunnen helpen tegen specifieke kwetsbaarheden, zoals CVE-2013-3181, en andere bedreigingen beschermen die met HTTP-verkeer kunnen worden geassocieerd. De volgende configuratie van de inspectie van het toepassingsprotocol van HTTP inspecteert verkeer op TCP-poorten 80, 3128, 8000, 8010, 8080, 8888 en 24326, die de standaardpoorten zijn voor de variabele Cisco IPS #WEBPORTS. Het beleid van de de toepassingsprotocolinspectie van HTTP zal verbindingen laten vallen waar de inhoud van HTTP om het even welke regexes bevat die worden gevormd om de controle aan te passen ActiveX die met deze kwetsbaarheid wordt geassocieerd.

    Waarschuwing: de geconfigureerde regexes kan tekststrings op elke locatie in de inhoud van een HTML-pakket aan elkaar koppelen. Zorg ervoor dat legitieme bedrijfstoepassingen die bijpassende tekstkoorden gebruiken zonder de ActiveX-controle te bellen, niet worden beïnvloed.

    Aanvullende informatie over ActiveX-explosies en -beperkingen die de Cisco ACE-applicatie en module voor Application Control Engine gebruiken, is beschikbaar in het witboek Preventing ActiveX Exploits with Cisco Application Control Engine Application Layer Inspection van Cisco Security Intelligence Operations.

     ! !-- Configure an HTTP application inspection class that !-- looks for HTTP packets that contain the regexes !-- that are associated with this vulnerability: !-- MS10-091 File Extension: regex matches the file !-- extension of ".eot" that is typically associated !-- with Embedded OpenType (EOT) font files ! 
class-map type http inspect match-any MS13-060-class
  match url .*.+\x2e[Ee][Oo][Tt].*   
 ! !-- Configure an HTTP application inspection policy that !-- identifies, resets, and logs connections that contain !-- the regexes that are configured above !
policy-map type inspect http all-match MS_Aug_2013
  class MS13-060-class
    reset log 
! !-- Configure an access list that matches TCP packets !-- that are destined to the #WEBPORTS variable that is !-- used by a Cisco IPS device !
access-list WEBPORTS line 8 extended permit tcp any any eq www 
access-list WEBPORTS line 16 extended permit tcp any any eq 3128 
access-list WEBPORTS line 24 extended permit tcp any any eq 8000 
access-list WEBPORTS line 32 extended permit tcp any any eq 8010 
access-list WEBPORTS line 40 extended permit tcp any any eq 8080 
access-list WEBPORTS line 48 extended permit tcp any any eq 8888 
access-list WEBPORTS line 56 extended permit tcp any any eq 24326 
! !-- Configure a Layer 4 class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable !
class-map match-all L4_http_class
  match access-list WEBPORTS
! !-- Configure a Layer 4 policy that applies the HTTP application !-- inspection policy configured above to TCP packets that !-- are destined to the ports that are used by the Cisco IPS !-- #WEBPORTS variable !
policy-map multi-match L4_MS_Aug_2013
  class L4_http_class
    inspect http policy MS_Aug_2013  
! !-- Apply the configuration globally across all interfaces, !-- which results in the inspection of all traffic that enters !-- the ACE ! service-policy input L4_MS_Aug_2013

    Identificatie: Application Protocol Inspection

    HTTP-pakketcontrole voor diep gebruik

    Cisco ACE-syslogbericht 415006 van Application Control Engine wordt gegenereerd wanneer de URI overeenkomt met een door de gebruiker gedefinieerde reguliere expressie. Het syslogbericht identificeert de bijbehorende HTTP-klasse en het HTTP-beleid en geeft de actie aan die is toegepast op de HTTP-verbinding. Aanvullende informatie over dit syslogbericht wordt weergegeven in de Cisco ACE 4700 Series Berichtshandleiding applicatiesysteem - System Message 415006.

    Cisco ACE-systeembericht 415007 van Application Control Engine wordt gegenereerd wanneer een HTTP-berichttekst overeenkomt met een door de gebruiker gedefinieerde reguliere expressie. Het syslogbericht identificeert de bijbehorende HTTP-klasse en het HTTP-beleid en geeft de actie aan die is toegepast op de HTTP-verbinding. Aanvullende informatie over dit syslogbericht wordt weergegeven in de Cisco ACE 4700 Series Berichtshandleiding applicatiesysteem - System Message 415007.

    ACE/Admin# show logging | include 415007
    
Aug 13 2013 15:26:43: %ACE-5-415007: HTTP - matched MS13-060-class in policy-map 
     L4_MS_Aug_2013, Body matched - Resetting connection from 
     vlan206:192.0.2.94/80 to vlan130:192.168.60.63/1776 Connection 0x3a 
Aug 13 2013 15:30:33: %ACE-5-415007: HTTP - matched MS13-060-class in policy-map 
     L4_MS_Aug_2013, Body matched - Resetting connection from 
     vlan206:192.0.2.94/80 to vlan130:192.168.60.63/1778 Connection 0x3c

    Wanneer de diepe pakketinspectie van HTTP wordt toegelaten, zal het show service-policy policy policy detail commando het aantal HTTP-verbindingen identificeren die door deze functie worden geïnspecteerd en verwijderd. Het volgende voorbeeld toont output voor show service-policy L4_MS_Aug_2013 detail:

    ACE/Admin# show service-policy L4_MS_Aug_2013 detail

Status     : ACTIVE
Description: -----------------------------------------
Context Global Policy:
  service-policy: L4_MS_Aug_2013
    class: L4_http_class
      inspect http:
        L7 inspect policy : MS_Aug_2013
        Url Logging: DISABLED
        curr conns       : 0         , hit count        : 1         
        dropped conns    : 0         
        client pkt count : 3         , client byte count: 589                   
        server pkt count : 3         , server byte count: 547                   
        conn-rate-limit      : 0         , drop-count : 0         
        bandwidth-rate-limit : 0         , drop-count : 0         
        L4 policy stats:
          Total Req/Resp: 4          , Total Allowed: 2         
          Total Dropped : 2          , Total Logged : 0         
        L7 Inspect policy : MS_Aug_2013
          class/match : MS13-060-class
            Inspect action :
               reset log
            Total Inspected      : 2          , Total Matched: 1         
            Total Dropped OnError: 0

    In het vorige voorbeeld zijn 2 HTTP-verbindingen geïnspecteerd en is 1 HTTP-verbinding verbroken.

    Aanvullende informatie over HTTP Deep Packet Inspection en Application Protocol Inspection is te vinden in de sectie Configuration Application Protocol Inspection van de Cisco ACE 4700 Series configuratiehandleiding voor applicatie security.


    Cisco-inbraakpreventiesysteem

    Beperken: acties voor Cisco IPS-handtekeningen

    Beheerders kunnen de Cisco IPS-apparaten en servicesmodules gebruiken om bedreigingsdetectie te bieden en pogingen te voorkomen om verschillende van de kwetsbaarheden te exploiteren die in dit document worden beschreven. De volgende tabel geeft een overzicht van de CVE-identificatiecodes en de respectieve Cisco IPS-handtekeningen die gebeurtenissen op potentiële pogingen om deze kwetsbaarheden te exploiteren zullen activeren.

    CVE-id Handtekeningrelease Handtekening-ID Handtekeningnaam Ingeschakeld Ernst Fidelity*
    CVE-2013-3182 S734 2600/0 Vulbaarheid van serviceweigering voor Windows 2012-servers Ja Hgh 95
    CVE-2013-3189 S734 2610/0 Microsoft Internet Explorer Remote Code uitvoeren Ja Hoog 80
    CVE-2013-319 S734 2633/0 Corruptie met Microsoft Internet Explorer Remote Memory Ja Hoog 85
    CVE-2013-3181 S734 2634/0 Corruptie met Microsoft Internet Explorer Remote Memory Ja Hoog 85
    CVE-2013-3193 S734 2637/0 Microsoft Internet Explorer Memory Corruptie Ja Hoog 85
    CVE-2013-3194 S734 2638/0 Microsoft Internet Explorer Memory Corruptie Ja Hoog 85
    CVE-2013-3184 S734 2639/0 Microsoft Windows Internet Explorer Memory Corruptie Ja Hoog 85
    CVE-2013-318 S734 31337/0 Microsoft Internet Explorer Remote Code uitvoeren Ja Hoog 85
    CVE-2013-3191 S734 2647/0 Microsoft Internet Explorer Memory Corruptie Kwetsbaarheid Ja Hoog 90
    CVE-2013-1307 S734 2646/0 Microsoft Internet Explorer gebruiken na gratis kwetsbaarheid Ja Hoog 90

    * Fidelity wordt ook aangeduid als Signature Fidelity Rating (SFR) en is de relatieve maat van de nauwkeurigheid van de handtekening (vooraf gedefinieerd). De waarde varieert van 0 tot 100 en wordt ingesteld door Cisco Systems, Inc.

    Beheerders kunnen Cisco IPS-sensoren configureren om een gebeurtenisactie uit te voeren wanneer een aanval wordt gedetecteerd. De geconfigureerde gebeurtenisactie voert preventieve of afschrikkende controles uit om te helpen beschermen tegen een aanval die probeert de kwetsbaarheden te exploiteren die in de vorige tabel zijn vermeld.

    Explosies die gespoofde IP-adressen gebruiken kunnen ervoor zorgen dat een geconfigureerde gebeurtenisactie per ongeluk verkeer van vertrouwde bronnen ontkent.

    Cisco IPS-sensoren zijn het meest effectief wanneer ze worden ingezet in inline beschermingsmodus in combinatie met het gebruik van een gebeurtenisactie. Automatische bedreigingspreventie voor Cisco IPS 7.x- en 6.x-sensoren die in de inline-beschermingsmodus worden geïmplementeerd, biedt bedreigingspreventie tegen een aanval die probeert te profiteren van de kwetsbaarheid die in dit document wordt beschreven. De preventie van de bedreiging wordt bereikt door een standaardopheffing die een gebeurtenisactie voor teweeggebrachte handtekeningen met een riskRatingValue groter dan 90 uitvoert.

    Voor aanvullende informatie over de risicorating en de berekening van de dreigingswaardering, de referentie Risicorating en de dreigingswaardering: Vereenvoudig IPS-beleidsbeheer.


    Cisco-gegevens over IPS-handtekeningen

    De volgende gegevens zijn gecompileerd via externe bewakingsservices die worden geleverd door het Cisco Remote Management Services-team uit een voorbeeldgroep van Cisco IPS-sensoren waarop Cisco IPS Signature Update versie S734 of hoger wordt uitgevoerd. Het doel van deze gegevens is om inzicht te geven in pogingen om de kwetsbaarheden te exploiteren die zijn vrijgegeven als deel van de Microsoft August Security Update die op 13 augustus 2013 is uitgebracht. Deze data zijn verzameld van gebeurtenissen die ontstonden op 19 augustus 2013.

    CVE-id Handtekening-ID Percentage sensoren dat de handtekening weergeeft Percentage sensoren dat de handtekening weergeeft onder de tien meest bekeken gebeurtenissen
    CVE-2013-3182 2600/0 0 0
    CVE-2013-3189 2610/0 0 0
    CVE-2013-319 2633/0 0 0
    CVE-2013-3181 2634/0 0 0
    CVE-2013-3193 2637/0 0 0
    CVE-2013-3194 2638/0 0 0
    CVE-2013-3184 2639/0 0 0
    CVE-2013-318 31337/0 0 0
    CVE-2013-3191 2647/0 0 0
    CVE-2013-1307 2646/0 0 0

    Cisco Security Manager

    Identificatie: Cisco Security Manager

    Cisco Security Manager, gebeurtenisviewer

    Beginnend in softwareversie 4.0, kan Cisco Security Manager systemen van Cisco firewalls en Cisco IPS-apparaten verzamelen en het gebeurtenisvenster bieden, dat kan vragen naar gebeurtenissen die gerelateerd zijn aan de kwetsbaarheden die in dit document worden beschreven.

    Met behulp van de voorgedefinieerde weergave IPS Alert Events in de Event Viewer kan de gebruiker de zoekstring invoeren

    • 2600/0
    • 2610/0
    • 2633/0
    • 2634/0
    • 2637/0
    • 2638/0
    • 2639/0
    • 31337/0

    in het gebeurtenisfilter om alle opgenomen gebeurtenissen met betrekking tot Cisco IPS-handtekening terug te sturen

    • 2600/0
    • 2610/0
    • 2633/0
    • 2634/0
    • 2637/0
    • 2638/0
    • 2639/0
    • 31337/0

    Een Event Type ID-filter kan met de vooraf gedefinieerde weergave Firewall Denied Events worden gebruikt in het Event Viewer om de syslog-ID’s te filteren die in de volgende lijst worden weergegeven om alle opgenomen Cisco-firewall te leveren ontkennen syslog-bericht ASA-4-415007 (HTTP-inspectie) dat kan wijzen op potentiële pogingen om de kwetsbaarheden te exploiteren die in dit document worden beschreven.

    Raadpleeg de sectie Gebeurtenissen filteren en vragen in de Cisco Security Manager-gebruikershandleiding voor meer informatie over Cisco Security Manager-gebeurtenissen.

    Cisco Security Manager-rapportbeheer

    Beginnend in softwareversie 4.1, ondersteunt Cisco Security Manager de Report Manager, de Cisco IPS Event Reporting-functie. Deze eigenschap staat een beheerder toe om rapporten te bepalen die op de gebeurtenissen van Cisco IPS van belang worden gebaseerd. Rapporten kunnen worden gepland of gebruikers kunnen desgewenst ad-hocrapporten uitvoeren.

    Met behulp van Report Manager kan de gebruiker een IPS Top Signatures-rapport definiëren voor Cisco IPS-apparaten die van belang zijn op basis van tijdbereik en handtekeningskenmerken. Wanneer de handtekenings-ID is ingesteld op

    • 2600/0
    • 2610/0
    • 2633/0
    • 2634/0
    • 2637/0
    • 2638/0
    • 2639/0
    • 31337/0
    Cisco Security Manager genereert een uitgebreid rapport waarin de telling van de opgeslagen waarschuwingen voor de handtekening van belang wordt gerangschikt ten opzichte van de totale som van alle signaleringen voor handtekeningen die in het rapport worden weergegeven.

    Raadpleeg voor meer informatie over IPS Event Reporting van Cisco Security Manager het gedeelte IPS Top Reports van de Cisco Security Manager Gebruikershandleiding.

    Identificatie: Event Management System Partner Events

    Cisco werkt met toonaangevende Security Information and Event Management (SIEM)-bedrijven via het Cisco Developer Network. Dit partnerschap helpt Cisco gevalideerde en geteste SIEM-systemen te leveren die zakelijke problemen aanpakken zoals langetermijnarchivering van logbestanden en forensische gegevens, heterogene gebeurteniscorrelatie en geavanceerde nalevingsrapportage. Security Information en Event Management-partnerproducten kunnen worden benut om gebeurtenissen van Cisco-apparaten te verzamelen en vervolgens de verzamelde gebeurtenissen te bevragen voor de incidenten die door een Cisco IPS-handtekening zijn gemaakt of syslogberichten van firewalls te ontkennen die kunnen wijzen op potentiële pogingen om de kwetsbaarheden te exploiteren die in dit document worden beschreven. De vragen kunnen worden gesteld door Sig ID en Syslog ID zoals weergegeven in de volgende lijst:

    • 2600/2600 Windows 2012-server - kwetsbaarheid voor ontkenning van service
    • 2610/2600 Microsoft Internet Explorer Remote Code-uitvoering
    • 2633/2600 Microsoft Internet Explorer Remote Memory-corruptie
    • 2634/08 Microsoft Internet Explorer Remote Memory-corruptie
    • 2637/2600 Microsoft Internet Explorer Remote Code-uitvoering
    • 2638/2600 Microsoft Internet Explorer Memory Corruptie
    • 2639/09 Microsoft Windows Internet Explorer Memory Corruptie
    • 31337/0 Microsoft Internet Explorer Remote Code uitvoeren
    • ASA 4-415007 (HTTP-inspectie)

    Raadpleeg voor meer informatie over SIEM-partners de website Security Management System.






Aanvullende informatie

  • DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM DIT DOCUMENT TE ALLEN TIJDE TE WIJZIGEN OF TE ANNULEREN.

Gerelateerd aan dit bericht

Revisiegeschiedenis

  • Versie Beschrijving doorsnede Datum
    3 Gegevens van IPS-handtekeningen van Cisco Remote Management Services zijn vanaf 19 augustus 2013 beschikbaar voor IPS-handtekeningen. 2013-augustus-26 13:38 GMT
    2 Gegevens van IPS-handtekeningen van Cisco Remote Management Services zijn vanaf 15 augustus 2013 beschikbaar voor IPS-handtekeningen. 2013-augustus-16 20:27
    1 Cisco Applied Mitigation Bulletin eerste publieke release 2013-augustus-13 18:10 GMT
    Minder tonen

Cisco-beveiligingsprocedures

Gerelateerde informatie

Betrokken producten

  • De beveiligingskwetsbaarheid is van toepassing op de volgende combinaties van producten.

    Primaire producten
    Microsoft, Inc. Internet Explorer 6,0 (basis) | 7,0 (basis) | 8,0 (basis) | 9,0 (basis) | 10,0 (basis)
    Windows 7 voor 32-bits systemen (SP1) | voor op x64 gebaseerde systemen (SP1)
    Windows 8 voor 32-bits systemen (Base) | voor op x64 gebaseerde systemen (Base)
    Windows RT Oorspronkelijke release (basis)
    Windows Server 2003 Datacenter Edition (SP2) | Datacenter Edition, 64-bits (Itanium) (SP2) | Datacenter Edition x64 (AMD/EM64T) (SP2) | Enterprise Edition (SP2) | Enterprise Edition, 64-bits (Itanium) (SP2) | Enterprise Edition x64 (AMD/EM64T) (SP2) | Standard Edition (SP2) | Standard Edition, 64-bits (Itanium) (SP2) | Standard Edition x64 (AMD/EM64T) (SP2) | Web Edition (SP2)
    Windows Server 2008 Datacenter Edition (SP2) | Datacenter Edition, 64-bits (SP2) | Itanium-gebaseerde Systems Edition (SP2) | Enterprise Edition (SP2) | Enterprise Edition, 64-bits (SP2) | Essential Business Server Standard (SP2) | Essential Business Server Premium (SP2) | Essential Business Server Premium, 64-bits (SP2) | Standard Edition (SP2) | Standard Edition, 64-bits (SP2) | Webserver (SP2) | Webserver, 64-bits (SP2)
    Windows Server 2008 R2 x64-gebaseerde Systems Edition (SP1) | Itanium-gebaseerde Systems Edition (SP1)
    Windows Server 2012 Oorspronkelijke release (basis)
    Windows Vista Home Basic (SP2) | Home Premium (SP2) | Bedrijfsleven (SP2) | Ondernemingen (SP2) | Uiteindelijk (SP2) | Home Basic x64 Edition (SP2) | Home Premium x64 Edition (SP2) | Business x64 Edition (SP2) | Enterprise x64 Edition (SP2) | Ultieme x64-editie (SP2)
    Oracle Corporation Oracle Fusion Middleware 8,3 (,7) | 8,4 ( 0,0, 0,1)


    Verwante producten
    Microsoft, Inc. Exchange-server 2007 (SP3) | 2010 (SP2) | 2013 (VE 1, VE 2)
    Windows 7 voor 32-bits systemen | voor op x64 gebaseerde systemen
    Windows 8 voor 32-bits systemen | voor op x64 gebaseerde systemen
    Windows RT Oorspronkelijke release
    Windows Server 2003 Datacenter Edition | Datacenter Edition, 64-bits (Itanium) | Datacenter Edition x64 (AMD/EM64T) | Enterprise Edition | Enterprise Edition, 64-bits (Itanium) | Enterprise Edition x64 (AMD/EM64T) | Standaarduitgave | Standard Edition, 64-bits (Itanium) | Standard Edition x64 (AMD/EM64T) | Webex Edition
    Windows Server 2008 Datacenter Edition | Datacenter Edition, 64-bits | Itanium-gebaseerde systeemeditie | Enterprise Edition | Enterprise Edition, 64-bits | Essential Business Server-standaard | Essential Business Server Premium | Essential Business Server Premium, 64-bits | Standaarduitgave | Standard Edition, 64-bits | Webserver | Webserver, 64-bits
    Windows Server 2008 R2 x64-gebaseerde Systems Edition | Itanium-gebaseerde systeemeditie
    Windows Server 2012 Oorspronkelijke release
    Windows Vista Home Basic | Home Premium | Bedrijfsactiviteiten | Ondernemingen | Uiteindelijk | Home Basic x64 Edition | Home Premium x64 Edition | Business x64 Edition | Enterprise x64 Edition | Ultieme x64-editie

Gerelateerd aan dit bericht