DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Exploit.IIS.Beavuh

Kategorie Exploit
Plattform IIS
Beschreibung

Technische Details

Beavuh ist ein Malware-Exploit der so genannten MS IIS ".printer" Schwachstelle, die von Microsoft im "Security Bulletin MS01-23", veröffentlicht am 1. Mai 2001, beschrieben wird.

Das Sicherheitsbulletin MS01-23 kann am folgenden Speicherort angezeigt werden:

www.microsoft.com/technet/security/bulletin/ms01-023.asp

Dieses Exploit-Programm ermöglicht den Remotezugriff auf eine einfache Windows NT-Befehlsshell auf dem Zielcomputer. Beavuh wurde kürzlich (am 2. März 2002) bei einer großen Anzahl von Hackerangriffen gemeldet.

Das Exploit-Programm hat folgende Parameter:

  • eine Ziel-IP-Adresse
  • eine Zielportnummer
  • eine IP-Adresse / einen IP-Port, an den sich der ausnutzende Code mit der Befehlsshell verbindet.

    Der Remote-Exploit-Code wird auf dem Zielcomputer ausgeführt, wenn die IIS-Schwachstelle zuvor nicht gepatcht wurde. Der Code ist verschlüsselt, so dass er zunächst selbst entschlüsselt und dann den Systemspeicher für die Windows NT-Bibliothek ("kernel32.dll") durchsucht. Von dort wird es den 'Offset' der 'GetProcAddress'-Funktion erhalten und wird es weiter verwenden, um ein paar andere API-Adressen zu erhalten, sowohl von "kernel32.dll" als auch von "wsock32.dll".

    Next Beavuh verbindet sich mit der vom Angreifer angegebenen Adresse, startet die ausführbare Datei "cmd.exe" und verknüpft die Eingabe und Ausgabe der Befehlsshell mit dem Socket, der für die Steuermaschine des Angreifers geöffnet ist.

    Empfehlungen
    Aufgrund der Verbreitung dieses Exploits empfehlen wir Systemadministratoren so schnell wie möglich alle anfälligen IIS-Server zu patchen. Darüber hinaus bietet die Installation des KL ISAPI AV-Filters eine generische Methode zur Blockierung von IIS-Pufferüberlauf-Exploits, einschließlich dieser. Für weitere Details, überprüfen Sie bitte:

    www.kasperskey.com/support.html?chapter=47


  • Link zum Original