Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

O Beavuh é uma exploração de malware da chamada vulnerabilidade ".printer" do MS IIS, descrita pela Microsoft no "Security Bulletin MS01-23", lançado em 1º de maio de 2001.

O boletim de segurança MS01-23 pode ser visto no seguinte local:

www.microsoft.com/technet/security/bulletin/ms01-023.asp

Este programa de exploração fornece acesso remoto a um simples shell de comando do Windows NT na máquina de destino. Beavuh foi recentemente informado (em 2 de março de 2002) de ter sido usado em um grande número de tentativas de hackers.

O programa de exploração possui os seguintes parâmetros:

um endereço IP de destino

um número de porta de destino

um endereço IP / porta para a qual o código de exploração irá se conectar novamente com o shell de comando.

O código de exploração remota é executado na máquina de destino se a vulnerabilidade do IIS não tiver sido corrigida anteriormente. O código é criptografado para que ele primeiro continue a descriptografar a si mesmo e, em seguida, verificará a memória do sistema para a biblioteca do Windows NT ("kernel32.dll"). A partir daí, ele adquirirá o 'deslocamento' da função 'GetProcAddress' e o utilizará para obter alguns outros endereços de API, tanto de "kernel32.dll" quanto de "wsock32.dll".

Em seguida, Beavuh se conecta ao endereço especificado pelo invasor, inicia o executável "cmd.exe" e vincula a entrada e a saída do shell de comando ao soquete aberto na máquina de controle do invasor.

Recomendações
Devido à prevalência dessa vulnerabilidade, recomendamos que os administradores de sistemas consertem os servidores IIS vulneráveis assim que possível. Além disso, a instalação do filtro KL ISAPI AV fornece um meio genérico de bloquear explorações de estouro de buffer do IIS, incluindo este. Para mais detalhes, por favor verifique:

www.kasperskey.com/support.html?chapter=47

Link para o original

Descubra as estatísticas das ameaças que se espalham em sua região

Classe	Exploit
Plataforma	IIS
Descrição	Detalhes técnicos O Beavuh é uma exploração de malware da chamada vulnerabilidade ".printer" do MS IIS, descrita pela Microsoft no "Security Bulletin MS01-23", lançado em 1º de maio de 2001. O boletim de segurança MS01-23 pode ser visto no seguinte local: www.microsoft.com/technet/security/bulletin/ms01-023.asp Este programa de exploração fornece acesso remoto a um simples shell de comando do Windows NT na máquina de destino. Beavuh foi recentemente informado (em 2 de março de 2002) de ter sido usado em um grande número de tentativas de hackers. O programa de exploração possui os seguintes parâmetros: um endereço IP de destino um número de porta de destino um endereço IP / porta para a qual o código de exploração irá se conectar novamente com o shell de comando. O código de exploração remota é executado na máquina de destino se a vulnerabilidade do IIS não tiver sido corrigida anteriormente. O código é criptografado para que ele primeiro continue a descriptografar a si mesmo e, em seguida, verificará a memória do sistema para a biblioteca do Windows NT ("kernel32.dll"). A partir daí, ele adquirirá o 'deslocamento' da função 'GetProcAddress' e o utilizará para obter alguns outros endereços de API, tanto de "kernel32.dll" quanto de "wsock32.dll". Em seguida, Beavuh se conecta ao endereço especificado pelo invasor, inicia o executável "cmd.exe" e vincula a entrada e a saída do shell de comando ao soquete aberto na máquina de controle do invasor. Recomendações Devido à prevalência dessa vulnerabilidade, recomendamos que os administradores de sistemas consertem os servidores IIS vulneráveis assim que possível. Além disso, a instalação do filtro KL ISAPI AV fornece um meio genérico de bloquear explorações de estouro de buffer do IIS, incluindo este. Para mais detalhes, por favor verifique: www.kasperskey.com/support.html?chapter=47
	Link para o original
	Descubra as estatísticas das ameaças que se espalham em sua região

Exploit.IIS.Beavuh

Detalhes técnicos