IE CSS parsing vulnerability – CVE-2010-3971

http://www.wooyun.org/bugs/wooyun-2010-0885

https://www.metasploit.com/redmine/projects/framework/repository/entry/modules/exploits/windows/browser/ms11_xxx_ie_css_import.rb

http://seclists.org/fulldisclosure/2010/Dec/110

다른 파일에서 css 호출시

파일명을 저장해야 하고 그 파일명을 네번이상 import시 탐지.

기존 snort룰로는 룰 생성 힘듬

About this entry

You’re currently reading “IE CSS parsing vulnerability – CVE-2010-3971,” an entry on Snort rules

게시일:: 12월 23, 2010 / 10:21 am

카테고리:: Rule Create

태그:: CVE-2010-3971

댓글 5개

Jump to comment form | comment rss [?] | trackback uri [?]

hyoubgun 12.24.10 / 8am

저도 이 룰 만들려고 보고서까지 썼는데..
결국 …. 만들 방법이……
퉷

답글
Adam 12.27.10 / 6am

I discuss the metasploit module that exploits this issues and attack vecotrs that could be created as a result of this issue – the article can be found here ->

http://adamonsecurity.com/?p=110

Adam

답글
kooja 12.31.10 / 9am

기냥 metasploit에서 제공하는 exploit만 탐지하는거 만들어봤는데…아직 테스트는 많이 못해봐서 어떨지 모르겠네여..
alert tcp any any -> any any (msg:”metasploit_ms11_xxx_ie_css_import detection”; flow:to_server; content:”GET”; pcre:”/(\%[A-F|0-9][A-F|0-9]){24}/”; content:”|2E|NET CLR”; flowbits:set,css_import; sid:1113;)
alert tcp any any -> any any (msg:”metasploit_ms11_xxx_ie_css_import detection”; flow:from_server,established; content:”200 OK”; pcre:”/(\x40\x00\x69\x00\x6d\x00\x70\x00\x6f\x00\x72\x00\x74\S*){4,4}/”; flowbits:isset,css_import; sid:1114;)

답글
kimms17 1.3.11 / 2pm

metasploit 만 탐지할거면 CSS파일이름도 fix하시는게 낳을듯.

답글
1. kooja 1.4.11 / 8am
  
  파일이름이 계속 바껴요…..
  
  답글

댓글 남기기 응답 취소

정보

스노트와 스노트 룰에 대한 글을 진행 할 것이다.

새로운 네트워크 공격들을 분석하고

이를 막을 Snort기반 룰을 작성하겠다.

또한 룰의 성능을 위해 노력하며 오탐을 줄이고 문제점을 찾아 고쳐보겠다.

스노트 운영상의 팁과 기능들에 대한 설명을 제시한다.

!!! 룰을 테스트하고 피드백 주실 분 찾습니다. 물론 정오탐여부 가려드리겠습니다.

!!! snort rules에서 같이 활동할 editer를 구해봅니다.

mskim17@gmail.com 으로 메일주십시오.

!!!looking for someone who edit post which about snort rules with us

contact to e-mail mskim17@gmail.com

피드가입 : https://snortrules.wordpress.com/feed/