本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Exploit.IIS.Beavuh

クラス Exploit
プラットフォーム IIS
説明

技術的な詳細

Beavuhは2001年5月1日にリリースされたMicrosoftの "Security Bulletin MS01-23"に記述されている、いわゆるMS IISの ".printer"脆弱性のマルウェアです。

MS01-23 Security Bulletinは、次の場所で確認できます。

www.microsoft.com/technet/security/bulletin/ms01-023.asp

このエクスプロイトプログラムは、ターゲットマシン上のシンプルなWindows NTコマンドシェルへのリモートアクセスを提供します。 Beavuhは最近(2002年3月2日に)多数のハッキング試行で使用されたと報告されました。

エクスプロイトプログラムには、次のパラメータがあります。

  • 宛先IPアドレス
  • 宛先ポート番号
  • エクスプロイトコードがコマンドシェルに接続するIPアドレス/ポート。

    以前にIISの脆弱性が修正されていない場合、リモートの攻撃コードがターゲットマシン上で実行されます。コードは暗号化されているため、まず自身の解読を進めると、Windows NTライブラリ( "kernel32.dll")のシステムメモリがスキャンされます。そこから「GetProcAddress」関数の「オフセット」を取得し、さらにそれを使用して、「kernel32.dll」と「wsock32.dll」の両方から2つの他のAPIアドレスを取得します。

    次に、Beavuhは攻撃者が指定したアドレスに接続し、実行可能ファイル "cmd.exe"を起動し、コマンドシェルの入出力を攻撃者の制御マシンにオープンしたソケットにリンクします。

    推奨事項
    この脆弱性のため、システム管理者は、脆弱なIISサーバーにできるだけ早くパッチを適用することをお勧めします。また、KL ISAPI AVフィルタをインストールすると、これを含むIISバッファオーバーフロー攻撃をブロックする一般的な手段が提供されます。詳細については、次を確認してください:

    www.kasperskey.com/support.html?chapter=47


  • オリジナルへのリンク