-
Уязвимость в службе Server в Microsoft Windows
23 октября, 2008
Программа:
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows 2003
Microsoft Windows Vista
Microsoft Windows 2008
Опасность: Критическая
Наличие эксплоита: Нет
Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.
Уязвимость существует из-за ошибки в службе Server при обработке RPC запросов. Удаленный пользователь может с помощью специально сформированного RPC запроса выполнить произвольный код на целевой системе. Для удачной эксплуатации уязвимости на Windows Vista и Windows Server 2008 атакующий должен успешно аутентифицироваться на системе.
Примечание: уязвимость активно эксплуатируется на настоящее время.
URL производителя: www.microsoft.com
Решение: Установите исправление с сайта производителя. Windows 2000 SP4:
http://www.microsoft.com/downloads/de...=E22EB3AE-1295-4FE2-9775-6F43C5C2AED3
Windows XP SP2:
http://www.microsoft.com/downloads/de...=0D5F9B6E-9265-44B9-A376-2067B73D6A03
Windows XP SP3:
http://www.microsoft.com/downloads/de...=0D5F9B6E-9265-44B9-A376-2067B73D6A03
Windows XP Professional x64 Edition:
http://www.microsoft.com/downloads/de...=4C16A372-7BF8-4571-B982-DAC6B2992B25
Windows XP Professional x64 Edition SP2:
http://www.microsoft.com/downloads/de...=4C16A372-7BF8-4571-B982-DAC6B2992B25
Windows Server 2003 SP1:
http://www.microsoft.com/downloads/de...=F26D395D-2459-4E40-8C92-3DE1C52C390D
Windows Server 2003 SP2:
http://www.microsoft.com/downloads/de...=F26D395D-2459-4E40-8C92-3DE1C52C390D
Windows Server 2003 x64 Edition:
http://www.microsoft.com/downloads/de...=C04D2AFB-F9D0-4E42-9E1F-4B944A2DE400
Windows Server 2003 x64 Edition SP2:
http://www.microsoft.com/downloads/de...=C04D2AFB-F9D0-4E42-9E1F-4B944A2DE400
Windows Server 2003 with SP1 for Itanium-based Systems:
http://www.microsoft.com/downloads/de...=AB590756-F11F-43C9-9DCC-A85A43077ACF
Windows Server 2003 with SP2 for Itanium-based Systems:
http://www.microsoft.com/downloads/de...=AB590756-F11F-43C9-9DCC-A85A43077ACF
Windows Vista (optionally with SP1):
http://www.microsoft.com/downloads/de...=18FDFF67-C723-42BD-AC5C-CAC7D8713B21
Windows Vista x64 Edition (optionally with SP1):
http://www.microsoft.com/downloads/de...=A976999D-264F-4E6A-9BD6-3AD9D214A4BD
Windows Server 2008 for 32-bit Systems:
http://www.microsoft.com/downloads/de...=25C17B07-1EFE-43D7-9B01-3DFDF1CE0BD7
Windows Server 2008 for x64-based Systems:
http://www.microsoft.com/downloads/de...=7B12018E-0CC1-4136-A68C-BE4E1633C8DF
Windows Server 2008 for Itanium-based Systems:
http://www.microsoft.com/downloads/d...3-222E0F0BAF7A
securitylab.ru
Left home for a few days and look what happens...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
ALEX(XX)
Уязвимость в службе Server
Ну наконец-то. Не зря же я удалил её уже лет 5 назад... 
Paul
Последний раз редактировалось XP user; 24.10.2008 в 12:46.
-
Не совсем понятно. Исправление заменяет только файл netapi32.dll . Насколько я понимаю, это интерфейс программирования для сетевых приложений. Уязвимость, похоже, не столько в службе "Сервер", сколько в реализации сетевого протокола. Не зря, видимо, в обсуждении на Securitylab проскочило мнение, что уязвимость кроссплатформенная.
-
-
Сообщение от
Numb
Не совсем понятно. Исправление заменяет только файл netapi32.dll . Насколько я понимаю, это интерфейс программирования для сетевых приложений. Уязвимость, похоже, не столько в службе "Сервер", сколько в реализации сетевого протокола. Не зря, видимо, в обсуждении на Securitylab проскочило мнение, что уязвимость кроссплатформенная.
Да, netapi32.dll содержит Windows NET API, который используется многими программами для того, чтобы иметь доступ к сети Майкрософта. Но, причина волнения - неправильная обработка запросов RPC. Атака может быть именно нацелена против
4b324fc8-1670-01d3-1278-5a47bf6ee188 = Server service
Ещё служба Computer Browser может быть вовлечена. Но это, конечно, всё тесно связано со средствами обмена файлами, которые по любому надо бы отключить или ещё лучше удалить на отдельно стоящих компах.
P.S.: Если оставить эту дыру на Windows непропатченой, то тогда вскоре к вам приползут черви...
Paul
Последний раз редактировалось XP user; 24.10.2008 в 15:32.
-
Сообщение от
p2u
P.S.: Если оставить эту дыру на Windows непропатченой, то тогда вскоре к вам приползут черви...
По информации из вирлабов ЛК, DrWeb и MessageLabs, троянцы, эксплуатирующие эту дыру, существуют уже полтора месяца.
-
-
Сообщение от
DVi
Я это раньше уже отметил - примерно 5 лет назад я сообщил Майкрософту о подобных возможностях. Но знаете, через какое хамство надо пройти для того, чтобы тебе верили? С тех пор я начал рекомендовать всех в отрыто чтобы УДАЛИЛИ всё, что связано с обменом файлами (Конфигурирование Windows).
Удалить в свойствах подключения (или подключений, если их несколько) всё, чтобы остался только Протокол TCP/IP.
При этих действиях служба Server также удаляется.
Paul
Последний раз редактировалось XP user; 24.10.2008 в 15:55.
-
Paul, а что это означает? SP2GDR, SP2QFE... почему размер netapi32.dll различный?
For all supported x86-based versions of Windows XP
File name File version File size Date Time Platform SP requirement Service branch
Netapi32.dll 5.1.2600.3462 332,800 15-Oct-2008 16:57 x86 SP2 SP2GDR
Netapi32.dll 5.1.2600.3462 339,456 15-Oct-2008 16:53 x86 SP2 SP2QFE
Netapi32.dll 5.1.2600.5694 337,408 15-Oct-2008 16:34 x86 SP3 SP3GDR
Netapi32.dll 5.1.2600.5694 339,456 15-Oct-2008 16:25 x86 SP3 SP3QFE
http://support.microsoft.com/default...;EN-US;Q958644
-
-
Сообщение от
santy
Paul, а что это означает? SP2GDR, SP2QFE...
Так обычно обозначаются обновления для сервис паков. Это обычно разные библиотеки (dll). Предполагаю, что даже если у вас SP3, что элементы сервис пака 2 остались и также требуют обновление - дыра-то серьёзная. Я сам не смотрел подробнее, так как это обновление мне не требуется при отсуствии всего этого добра на моём компе.
Сообщение от
santy
почему размер netapi32.dll различный?
Не могу сказать.
Paul
Последний раз редактировалось XP user; 27.10.2008 в 14:13.
-
Сообщение от
p2u
Так обычно обозначаются обновления для сервис паков. Это обычно разные библиотеки (dll). Предполагаю, что даже если у вас SP3, что элементы сервис пака 2 остались и также требуют обновление - дыра-то серьёзная.
Paul
Я установил патч для своей системы XP SP3 (единственный пока после комплексного SP3) , посмотрел размер Netapi32.dll. Netapi32.dll - 5.1.2600.5694 337,408
-
-
Сообщение от
santy
For all supported x86-based versions of Windows XP
File name File version File size Date Time Platform SP requirement Service branch
Netapi32.dll 5.1.2600.3462 332,800 15-Oct-2008 16:57 x86 SP2 SP2GDR
Netapi32.dll 5.1.2600.3462 339,456 15-Oct-2008 16:53 x86 SP2 SP2QFE
Netapi32.dll 5.1.2600.5694 337,408 15-Oct-2008 16:34 x86 SP3 SP3GDR
Netapi32.dll 5.1.2600.5694 339,456 15-Oct-2008 16:25 x86 SP3 SP3QFE
http://support.microsoft.com/default...;EN-US;Q958644
Аббревиатура GDR = General Distribution Release.
Аббревиатура QFE = Quick Fix Engineering.
В терминах Microsoft, первое означает, если не ошибаюсь, дистрибутив - установочный пакет для установки "с нуля", второе - различные заплатки (применительно к сервис-паку - видимо, та его часть, что закачивается при автоматическом обновлении через Windows update (размер третьего сервис-пака, если не ошибаюсь, в таком случае варьируется в зависимости от уже установленных в системе заплаток).
-
-
"Спустя всего лишь сутки после выхода внеочередного патча от Microsoft в интернете появился новый червь Gimmiv, который использует закрываемую им уязвимость. Уязвимость касается службы Server, а именно того, как она обрабатывает запросы RPC (remote procedure call)."
http://www.3dnews.ru/software-news/n...indows_server/
-
-
Сообщение от
santy
"Спустя всего лишь сутки после выхода внеочередного патча от Microsoft в интернете появился новый червь Gimmiv, который использует закрываемую им уязвимость. Уязвимость касается службы Server, а именно того, как она обрабатывает запросы RPC (remote procedure call)."
http://www.3dnews.ru/software-news/n...indows_server/
А я вам говорю - не допачат они НИКОГДА. Кто имеет возможность - на отдельно стоящем компе отключите или удалите средства по обмену файлами Майкрософта + Майкрософт Клиент. В свойствах Интернета должен остаться один лишь параметр: TCP/IP (На Висте, возможно, ещё QoS Packet Scheduler).
Для обмена файлами в локалке лучше пользоваться чем-нибудь подобнее DC Strong ++
Paul
Последний раз редактировалось XP user; 28.10.2008 в 09:14.
-
Сообщение от
p2u
на отдельно стоящем компе отключите или удалите средства по обмену файлами Майкрософта + Майкрософт Клиент. В свойствах Интернета должен остаться один лишь параметр: TCP/IP
Дык это понятно 
Left home for a few days and look what happens...
-
-
Сообщение от
ALEX(XX)
Дык это понятно
Вам? Не сомневаюсь. А дайте мне доллар за каждого пользователя, который об этом не знает...
Paul
-
Сообщение от
p2u
В свойствах Интернета должен остаться один лишь параметр: TCP/IP (На Висте, возможно, ещё QoS Packet Scheduler)
На Висте в свойствах сети
1. Протокол Интернета (TCP/IP v4)
2. Протокол Интернета (TCP/IP v6)
Планировщик пакетов QoS из свойств можно удалить, можно просто выключить. Когда я его удалял, сетевые подключения вели себя нестабильно, постоянно прерывался коннект, время отклика очень сильно плавало. Потом я его снова добавил, но отключил. Глюки пропали. Не знаю, что там в сетевом стеке Висты наворочено и почему такие взаимосвязи.
Ответить с цитированием
