Published: 2006-03-24,
:2006-03 - 24を発表しました、
Last Updated: 2006-03-24 21:49:09 UTC by Jim Clausing (Version: 3(click to highlight changes) )
最新アップデート:2006-03-24 ジム・クロージングによっての21:49:09の UTC (バージョン:3(変更を強調するクリック))
:2006-03 - 24を発表しました、
Last Updated: 2006-03-24 21:49:09 UTC by Jim Clausing (Version: 3(click to highlight changes) )
最新アップデート:2006-03-24 ジム・クロージングによっての21:49:09の UTC (バージョン:3(変更を強調するクリック))
Update: At the urging of Handler Extraordinaire Kyle Haugsness, I tested the sploit on a box with software-based DEP and DropMyRights... here are the results:
更新してください:調教師 Extraordinaire カイル Haugsness を追い立てることにおいて、私はソフトウェアベースの DEP でボックスの上に sploit を検査しました、そして DropMyRights は...ここで結果です:
Software-based DEP protecting core Windows programs: sploit worked
コア Windows プログラムを守っているソフトウェアベースの DEP : sploit が働きました
Software-based DEP protecting all programs: sploit worked
すべてのプログラムを守っているソフトウェアベースの DEP : sploit が働きました
DropMyRights, config'ed to allow IE to run (weakest form of DropMyRights protection): sploit worked
DropMyRights 、 IE が運営することを可能にするべき config 'ed (DropMyRights 保護の最も弱い形式): sploit が働きました
Active Scripting Disabled: sploit failed
活発な Scripting Disabled : sploit 失敗されます
So, go with the last one, if you are concerned. By the way, you should be concerned.
それで、もしあなたが心配しているなら、最後の1人と一緒に行ってください。 ところで、あなたは心配するべきです。
--Ed Skoudis
- エド Skoudis
Intelguardians.
Intelguardians 。
Previous Update: We just received a report that a particular site uses the "createTextRange" vulnerability to install a spybot variant. It is a minor site with insignificant visitor numbers according to Netcraft's "Site rank".
前の更新:我々はただ特定の場所が「createTextRange」弱点を spybot 変形をインストールするために使うという報告を受け取りました。 それは Netcraft の「サイトランク」によればささいなビジター数を持っているマイナーなサイトです。
The Bleedingsnort rule has been updated. It has been tested against that particular version of the exploit and works for it. For details, see this set of rules (last one is the 'createTextRange' rule).
Bleedingsnort 規則は更新されました。 それは exploit のその特定のバージョンに対してテストされて、そしてそれのために機能します。 詳細については、規則(最後の1が「createTextRange」規則です)のこのセットを見てください。
Folks, as Lorna predicted yesterday , it didn't take long for the exploits to appear for that IE vulnerability. One has been making the rounds that pops the calculator up (no, I'm not going to point you to the PoC code, it is easy enough to find if you read any of the standard mailing lists), but it is a relatively trivial mod to turn that into something more destructive (in fact one of our readers, Matt Davis, has provided us with a version that he created that is more destructive). For that reason, we're raising Infocon to yellow for the next 24 hours.
ローナとしての、人々が昨日予測しました、偉業がその IE 弱点のために現われることは長くかかりませんでした。 1人は(今まで)電卓をポップアップするラウンド(いいえ、私は PoC コードにあなたを向けるつもりではありません、あなたが標準的なメーリングリストのいずれでも読んだかどうか見いだすことは十分に容易です)をしていました、けれどもそれはそれをいっそう破壊的な何か(実際我々の読者の1人、マット・デイビス、がいっそう破壊的な彼が作ったバージョンを我々に提供しました)に変えるために比較的些細な mod です。 その理由で、我々は次の24時間黄色くなるために Infocon を育てています。
Workarounds/mitigation
回避策 / 緩和
Microsoft has posted this
and suggests that turning off Active Scripting will prevent this exploit from working. You could, of course, always use another browser like Firefox or Opera, but remember that IE is so closely tied to other parts of the OS, that you may be running it in places where you don't realize you are.マイクロソフトはこれを公表して、そしてアクティブな Scripting からそれることはこの exploit が機能するのを阻止するであろうことを提案します。 あなたは、もちろん、常にさらに Firefox のようなブラウザあるいは歌劇を使いますが、 IE が非常に OS の他の部分に密接に結びつけられているので、あなたはあなたがあなたがそうであることを悟らない所でそれを走らせているかもしれないことを覚えていることができました。
One of our readers asked whether DropMyRights from Microsoft would provide any protection. We haven't had an opportunity to test that out. (Update: We have now tested it... see above update --skoudis).
我々の読者の1人がマイクロソフトからの DropMyRights が保護を提供するであろうかどうか尋ねました。 我々はそれを試す機会を(これまでに)持っていないです。 (更新してください: 我々は今それをテストして、...上記の更新 - skoudis を見ます)。
I understand a snort signature to detect the exploit has been checked in to bleeding-snort, I'll update the story with a URL for the sig as soon as I find it.
私は exploit がチェックされた検出するべき鼻を鳴らす音署名が出血 - 鼻を鳴らすと理解します、私がそれを見いだすとすぐに、私は sig のために URL で物語を更新するでしょう。
References
リファレンス
Original Secunia bulletin: http://secunia.com/advisories/18680/
オリジナルの Secunia ブレティン: http://secunia.com/advisories/18680/
Microsoft blog: http://blogs.technet.com/msrc/archive/2006/03/22/422849.aspx
マイクロソフトブログ: http://blogs.technet.com/msrc/archive/2006/03/22/422849.aspx
------------------------
------------------------
Jim Clausing, jclausing --at-- isc.sans.org
isc.sans.org で jclausing して、ジム・クロージング
Is anyone seeing an increase in port 143 (IMAP) scans? (NEW)
誰かポート143(IMAP)の増加が走査するのを見ていますか? (新しく)
Published: 2006-03-24,
:2006-03 - 24を発表しました、
Last Updated: 2006-03-24 22:44:34 UTC by Deborah Hale (Version: 1)
最新アップデート:2006-03-24 デボラ・ヘール(バージョン:1)によっての22:44:34の UTC
:2006-03 - 24を発表しました、
Last Updated: 2006-03-24 22:44:34 UTC by Deborah Hale (Version: 1)
最新アップデート:2006-03-24 デボラ・ヘール(バージョン:1)によっての22:44:34の UTC
Just curious if anyone is seeing an increase in port scanning on Port 143? Port 143 is typically used for IMAP. Please let us know if any of you are seeing an increase in port scan activity.
ただ誰かが ポートの増加が港に143を走査しているのを見ているかどうか知りたいですか? ポート143が典型的に IMAP のために使われます。 どうか我々にあなたたちのうちの誰かがポート走査活動の増加を見ているかどうか知らせてください。
ただ誰かが ポートの増加が港に143を走査しているのを見ているかどうか知りたいですか? ポート143が典型的に IMAP のために使われます。 どうか我々にあなたたちのうちの誰かがポート走査活動の増加を見ているかどうか知らせてください。
Microsoft Security Advisory (917077) (NEW)
(新しい)マイクロソフトセキュリティー助言(917077)
Published: 2006-03-23,
:2006-03 - 23を発表しました、
Last Updated: 2006-03-24 20:29:25 UTC by Deborah Hale (Version: 2(click to highlight changes) )
最新アップデート:2006-03-24 デボラ・ヘール(バージョン:2(変更を強調するクリック))によっての20:29:25の UTC
:2006-03 - 23を発表しました、
Last Updated: 2006-03-24 20:29:25 UTC by Deborah Hale (Version: 2(click to highlight changes) )
最新アップデート:2006-03-24 デボラ・ヘール(バージョン:2(変更を強調するクリック))によっての20:29:25の UTC
Microsoft has just released a Security Advisory for the HTML Objects vulnerability. This is the reason the Internet Storm Center went to yellow this evening.
マイクロソフトはちょうど HTML オブジェクト弱点のためにセキュリティー助言を発表したところです。 これは今晩黄色くなるインターネット Storm センターが行った理由です。
From the Microsoft advisory:
マイクロソフト助言から:
"Microsoft has confirmed new public reports of a vulnerability in Microsoft Internet Explorer. Based on our investigation, this vulnerability could allow an attacker to execute arbitrary code on the user's system in the security context of the logged-on user. We have seen examples of proof of concept code but we are not aware of attacks that try to use the reported vulnerabilities or of customer impact at this time."
「マイクロソフトは Microsoft インターネットエクスプローラで弱点の新しい公共の報告を確認しました。 我々の調査に基づいて、この弱点は日誌に記録された - のセキュリティー文脈でユーザーのシステムでユーザーの上に攻撃者に任意のコードを実行することを許すことができました。 我々はコンセプトコードの証明の事例を見ました、しかし我々は今報告された弱点を使おうとする攻撃についてあるいは顧客インパクトに気付いていません。」
Microsoft Suggested Workarounds:
マイクロソフトは回避策を提案しました:
* Configure Internet Explorer to prompt before running Active Scripting or disable Active Scripting in the Internet and Local intranet security zones.
* インターネットエクスプローラを、アクティブな Scripting を運営する前に、プロンプトを出すように設定してください、あるいはインターネット と支部イントラネットセキュリティー地域で活発な Scripting に障害を与えてください。
* Set Internet and Local intranet security zone settings to "high" to prompt before Active Scripting in these zones.
* これらのゾーンに前に活発な Scripting を促すために「高く」インターネットと支部イントラネットセキュリティーゾーン設定をつけられました。
http://www.microsoft.com/technet/security/advisory/917077.mspx
http://www.microsoft.com/technet/security/advisory/917077.mspx
Microsoft says that they are still investigating and will provide more information as it becomes available. So stay tuned for further updates.
マイクロソフトは(彼・それ)らがまだ調査していて、そして、それが利用可能になる(とき・から・につれて・ように)、もっと多くのインフォメーションを提供するであろうと言います。 それでそれ以上の更新のために調律されて留まってください。
マイクロソフトはちょうど HTML オブジェクト弱点のためにセキュリティー助言を発表したところです。 これは今晩黄色くなるインターネット Storm センターが行った理由です。
From the Microsoft advisory:
マイクロソフト助言から:
"Microsoft has confirmed new public reports of a vulnerability in Microsoft Internet Explorer. Based on our investigation, this vulnerability could allow an attacker to execute arbitrary code on the user's system in the security context of the logged-on user. We have seen examples of proof of concept code but we are not aware of attacks that try to use the reported vulnerabilities or of customer impact at this time."
「マイクロソフトは Microsoft インターネットエクスプローラで弱点の新しい公共の報告を確認しました。 我々の調査に基づいて、この弱点は日誌に記録された - のセキュリティー文脈でユーザーのシステムでユーザーの上に攻撃者に任意のコードを実行することを許すことができました。 我々はコンセプトコードの証明の事例を見ました、しかし我々は今報告された弱点を使おうとする攻撃についてあるいは顧客インパクトに気付いていません。」
Microsoft Suggested Workarounds:
マイクロソフトは回避策を提案しました:
* Configure Internet Explorer to prompt before running Active Scripting or disable Active Scripting in the Internet and Local intranet security zones.
* インターネットエクスプローラを、アクティブな Scripting を運営する前に、プロンプトを出すように設定してください、あるいはインターネット と支部イントラネットセキュリティー地域で活発な Scripting に障害を与えてください。
* Set Internet and Local intranet security zone settings to "high" to prompt before Active Scripting in these zones.
* これらのゾーンに前に活発な Scripting を促すために「高く」インターネットと支部イントラネットセキュリティーゾーン設定をつけられました。
http://www.microsoft.com/technet/security/advisory/917077.mspx
http://www.microsoft.com/technet/security/advisory/917077.mspx
Microsoft says that they are still investigating and will provide more information as it becomes available. So stay tuned for further updates.
マイクロソフトは(彼・それ)らがまだ調査していて、そして、それが利用可能になる(とき・から・につれて・ように)、もっと多くのインフォメーションを提供するであろうと言います。 それでそれ以上の更新のために調律されて留まってください。
(出展:SANS)