ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Exploit.IIS.Beavuh

Classe Exploit
Plataforma IIS
Descrição

Detalhes técnicos

O Beavuh é uma exploração de malware da chamada vulnerabilidade ".printer" do MS IIS, descrita pela Microsoft no "Security Bulletin MS01-23", lançado em 1º de maio de 2001.

O boletim de segurança MS01-23 pode ser visto no seguinte local:

www.microsoft.com/technet/security/bulletin/ms01-023.asp

Este programa de exploração fornece acesso remoto a um simples shell de comando do Windows NT na máquina de destino. Beavuh foi recentemente informado (em 2 de março de 2002) de ter sido usado em um grande número de tentativas de hackers.

O programa de exploração possui os seguintes parâmetros:

  • um endereço IP de destino
  • um número de porta de destino
  • um endereço IP / porta para a qual o código de exploração irá se conectar novamente com o shell de comando.

    O código de exploração remota é executado na máquina de destino se a vulnerabilidade do IIS não tiver sido corrigida anteriormente. O código é criptografado para que ele primeiro continue a descriptografar a si mesmo e, em seguida, verificará a memória do sistema para a biblioteca do Windows NT ("kernel32.dll"). A partir daí, ele adquirirá o 'deslocamento' da função 'GetProcAddress' e o utilizará para obter alguns outros endereços de API, tanto de "kernel32.dll" quanto de "wsock32.dll".

    Em seguida, Beavuh se conecta ao endereço especificado pelo invasor, inicia o executável "cmd.exe" e vincula a entrada e a saída do shell de comando ao soquete aberto na máquina de controle do invasor.

    Recomendações
    Devido à prevalência dessa vulnerabilidade, recomendamos que os administradores de sistemas consertem os servidores IIS vulneráveis ​​assim que possível. Além disso, a instalação do filtro KL ISAPI AV fornece um meio genérico de bloquear explorações de estouro de buffer do IIS, incluindo este. Para mais detalhes, por favor verifique:

    www.kasperskey.com/support.html?chapter=47


  • Link para o original