MS XML vulnerability detection rule : CVE-2012-1889 rev:4
IE기반이라 네트워크 단에서 탐지하기 어렵다. 탐지를 해도 추후분석이 조금더 필요하다 룰은 다음과 같다 alert tcp any $HTTP_PORT -> any any (pcre:”\x3c\s*\bobject\b[^\x3e]*?\bclsid\b[^\x3e]*?\b(f6D90f11\x2d9c73\x2d11d3\x2db32e\x2d00C04f990bb4|f5078f32\x2dc551\x2d11d3\x2d89b9\x2d0000f81fe221|88d969c0\x2df192\x2d11d4\x2da65f\x2d0040963251e5|88d96a05\x2df192\x2d11d4\x2da65f\x2d0040963251e5|88d969e5\x2df192\x2d11d4\x2da65f\x2d0040963251e5)\b[^\x3e]*?\bid\s*\x3d\s*[\x27\x22]?\b([\w]+)\b[\x27\x22]?.+?(var\s+\b([\w]+)\b\s*\x3d\s*document\.getElementById\x28\s*[\x27\x22]?\b\2\b[\x27\x22]?\s*\x29\.object.+\b\4\.definition\b\s*\x28[0-9]{0,10}\x29|document\.getElementById\x28\s*[\x27\x22]?\b\2\b[\x27\x22]?\s*\x29\.object\.definition\b\s*\x28[0-9]{0,10}\x29)/is”;) object 태그로 해당 취약점이 발생하는 clsid를 찾고 id를 찾아서 저장한다. 이 id를 이용하여 엘리먼트객체 생성하면서 바로 definition을 이용하거나, 이 id를 이용하여 엘리먼트를 생성한 변수를 찾아 저장하고 이 변수에 definition을 이용하면 탐지한다. 이 룰은 패킷 […]
MS12-020 Vulnerabilities in Remote Desktop Could Allow Remote Code Execution (2671387) detection rules -rev:3
MS 2012 3월 보안공지 취약점 중, 크리티컬이 나왔군요. RDP 취약점을 이용하여 코드 실행을 할 수 있다라는겁니다. 관련 내용은 다음 링크 http://support.microsoft.com/kb/2621440 http://technet.microsoft.com/ko-kr/security/bulletin/ms12-020 RDP 패킷에서 특정 바이트의 값이 underflow되면 취약점을 발생시킵니다. 그동안에 POC를 분석한결과 다음룰을 적용할 수 있습니다. alert tcp any any -> any 3389 (flow:to_server, established; content:”|03 00|”; depth:2; content:”|7F 65 82|”; content:”|04 01 01 […]
asc3tic
hhkim84
kimms17
kooja
regexkorea
Snort rules 