ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Exploit.IIS.Beavuh

Clase Exploit
Plataforma IIS
Descripción

Detalles técnicos

Beavuh es un exploit de malware de la llamada vulnerabilidad ".printer" de MS IIS, que Microsoft describe en el "Security Bulletin MS01-23", publicado el 1 de mayo de 2001.

El boletín de seguridad MS01-23 se puede ver en la siguiente ubicación:

www.microsoft.com/technet/security/bulletin/ms01-023.asp

Este programa de explotación ofrece acceso remoto a un shell de comandos de Windows NT simple en la máquina de destino. Se informó recientemente que Beavuh (el 2 de marzo de 2002) fue utilizado en una gran cantidad de intentos de piratería informática.

El programa de explotación tiene los siguientes parámetros:

  • una dirección IP de destino
  • un número de puerto de destino
  • una dirección IP / puerto a la cual el código de explotación se conectará de nuevo con el shell del comando.

    El código de explotación remota se ejecuta en la máquina de destino si la vulnerabilidad de IIS no se parchó previamente. El código está encriptado por lo que primero procederá a desencriptarse a sí mismo, y luego escaneará la memoria del sistema para la biblioteca de Windows NT ("kernel32.dll"). A partir de allí, adquirirá el 'offset' de la función 'GetProcAddress' y lo usará más para obtener un par de otras direcciones API, tanto desde "kernel32.dll" como desde "wsock32.dll".

    A continuación, Beavuh se conecta a la dirección especificada por el atacante, inicia el ejecutable "cmd.exe" y vincula la entrada y la salida del shell de comandos al socket abierto en la máquina de control del atacante.

    Recomendaciones
    Debido a la prevalencia de este exploit, recomendamos que los administradores del sistema parcheen cualquier servidor IIS vulnerable tan pronto como sea posible. Además, la instalación del filtro KL ISAPI AV proporciona un medio genérico para bloquear exploits de desbordamiento de búfer IIS, incluido este. Para más detalles, verifique:

    www.kasperskey.com/support.html?chapter=47


  • Enlace al original