Searching
..

Click anywhere to stop

Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Exploit.IIS.Beavuh

Třída Exploit
Platfoma IIS
Popis

Technické údaje

Beavuh je malware exploit takzvaného "MSI-MSI", který je popsán společností Microsoft v bulletinu "Bezpečnostní bulletin MS01-23", vydaný 1. května 2001.

Bulletin zabezpečení MS01-23 lze zobrazit na následujícím umístění:

www.microsoft.com/technet/security/bulletin/ms01-023.asp

Tento program exploit umožňuje vzdálený přístup k jednoduchému příkazovému oknu systému Windows NT na cílovém počítači. Beavuh byl nedávno oznámen (2. března 2002), že byl použit ve velkém počtu pokusů o hackerství.

Program exploit má následující parametry:

  • cílovou adresu IP
  • číslo cílového portu
  • adresu IP / port, ke kterému se exploitní kód připojí zpět s příkazovým shellem.

    Kód vzdáleného zneužití se na cílovém počítači spustí, pokud chyba zabezpečení služby IIS nebyla předtím patched. Kód je zašifrován, takže se nejprve provede dešifrování a poté prohledá systémovou paměť knihovny systému Windows NT ("kernel32.dll"). Odtud získá "offset" funkce "GetProcAddress" a dále jej použije k získání několika dalších adres API, a to jak z "kernel32.dll", tak z "wsock32.dll".

    Další Beavuh se připojí na adresu zadanou útočníkem, spustí spustitelný soubor "cmd.exe" a propojí vstup a výstup příkazového shellu do soketu otevřeného pro řídicí počítač útočníka.

    Doporučení
    V důsledku výskytu tohoto zneužívání doporučujeme administrátorům systému opravovat všechny zranitelné servery IIS co nejdříve. Také instalace filtru KL ISAPI AV poskytuje obecný způsob blokování explozí přetečení vyrovnávací paměti IIS, včetně tohoto. Pro více informací prosím zkontrolujte:

    www.kasperskey.com/support.html?chapter=47


  • Odkaz na originál
    Zjistěte statistiky hrozeb šířících se ve vašem regionu