RNP > Serviços > Segurança em redes > Alertas do CAIS

CERT Advisory CA-2001-10

Vulnerabilidade remota no IIS 5.0

[CERT/CC, 02.05.2001, revisão 01]

O CAIS está repassando alerta do CERT/CC sobre uma séria vulnerabilidade no IIS (Internet Information Service), servidor web da Microsoft. Se explorada, esta vulnerabilidade pode permitir que usuários maliciosos ganhem acesso remoto.

Até o momento, esta vulnerabilidade tem sido encontrada apenas na versão 5.0 do IIS, especificamente em sistemas rodando Windows 2000.

Maiores informações podem ser encontrados nos alertas originais enviados pelo CERT/CC e pela Microsoft, respectivamente nas seguintes URLs:

http://www.cert.org/advisories/CA-2001-10.html
http://www.microsoft.com/technet/security/bulletin/MS01-023.mspx

Dada a severidade do problema, o CAIS recomenda que os administradores de IIS apliquem urgentemente a correção disponível em:

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29321

Seguem regras do Snort1.7 para detectar tentativas de ataque utilizando esta nova vulnerabilidade:

alert tcp $EXTERNAL_NET any -> $HOME_NET 80
(msg:"IDS534/http-iis5-printer-eeye"; flags:P+; content: "|8B C4 83 C0
11 33 C9 66 B9 20 01 80 30 03|";)

alert tcp $EXTERNAL_NET any -> $HOME_NET 80
(msg:"IDS533/http-iis5-printer-isapi"; flags:P+; content: ".printer";
nocase;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 80
(msg:"IIS printer attempt"; content:".printer"; nocase;
flags:A+;reference:cve,CAN-2001-0241;)

A regra 3 produz o seguinte alerta:

[**] IIS printer attempt [**]
05/03-08:58:29.047760 200.144.121.105:1442 -> 200.136.239.119:80
TCP TTL:59 TOS:0x0 ID:46261 IpLen:20 DgmLen:177 DF
***AP*** Seq: 0x5C536E33 Ack: 0x56689A51 Win: 0x4470 TcpLen: 20

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais