SecuLog

■[Full-Disclosure] Metasploit Microsoft IIS SSL PCT Module

MS04-011 SSL/PCT脆弱性を対象としたMetasploit Framework用のモジュールがリリースされてる。

各SPに対応して汎用度が高まったことで、危険度も一層アップというところか。

コードの中で使われているリクエストパケットの先頭部分がTHCのと微妙に違っているので、こっちでこられると以前に挙げたSnort用シグネチャでは検知できないな。ということで。

alert tcp $EXTERNAL_NET any -> $HOME_NET 443 (msg:"EXPLOIT MS04-011 SSL/PCT Vulnerability (Metasploit Ver.)"; flow:to_server,established; content:"|80 66 01 02 bd 00 01 00 01 00 16 8f 86 01 00 00 00|"; reference:cve,CAN-2003-0719; classtype:shellcode-detect; sid:1000003; rev:1;)

2バイト目と13バイト目が変わっている。

前のやつを両方に反応するように書き換えると、こういう感じ？

alert tcp $EXTERNAL_NET any -> $HOME_NET 443 (msg:"EXPLOIT MS04-011 SSL/PCT Vulnerability"; flow:to_server,established; content:"|80|"; offset:0; depth:1; content:"|01 02 bd 00 01 00 01 00 16 8f|"; offset:2; depth:10; content:"|01 00 00 00|"; offset:13; depth:4; reference:cve,CAN-2003-0719; classtype:shellcode-detect; sid:1000001; rev:2;)

一応THCのとMetasploitの両方で確認済み。

4/27補足:

low→flowですたm(__)m。今は直ってます。

seculogger による 10:30 午後 の書き込み (カテゴリー: 脆弱性情報)
| 印刷用 | PDF | Translate (en)| 参照数( 2250)

このWeblog中の関連記事: [Full-Disclosure] Metasploit Microsoft

Google検索: [FullDisclosure] Metasploit Microsoft IIS SSL PCT Module

Amazon検索: [Full-Disclosure] Metasploit Microsoft IIS SSL PCT Module

コメント