Printable View
Ошибка в драйвере, обслуживающем протокол SMB 2, приводит к старому доброму синему экрану смерти при получении некорректно сформированных пакетов.
Предположительно уязвимость может привести не только к DoS, но и к удаленному исполнению кода.
Источник: [URL="http://news.zdnet.com/2100-9595_22-340020.html"]ZDNet[/URL]
[URL="http://bugtraq.ru/rsn/archive/2009/09/01.html"]bugtraq.ru[/URL]
[B]08 сентября, 2009[/B]
[B]Программа: [/B]
Microsoft Windows Vista
Microsoft Windows 2008
[B]Опасность: [COLOR=darkorange]Средняя[/COLOR][/B]
[B]Наличие эксплоита: [COLOR=red]Да[/COLOR][/B]
[B]Описание: [/B]
Уязвимость позволяет удаленному пользователю вызвать отказ в обслуживании и скомпрометировать целевую систему.
Уязвимость существует из-за ошибки индексирования массива в драйвере ядра srv2.sys. Удаленный пользователь может с помощью специально сформированного SMB пакета вызвать повреждение памяти и выполнить произвольный код на целевой системе.
[B]URL производителя: [/B][URL="http://www.microsoft.com"]www.microsoft.com[/URL]
[B]Решение: [/B]Способов устранения уязвимости не существует в настоящее время
[URL="http://www.securitylab.ru/vulnerability/384870.php"]securitylab.ru[/URL]
PS: Похоже у МС есть руководство по граблеводству
Вчера компания Microsoft сообщила о том, что она изучает сведения о появлении уязвимости нулевого дня в Windows 7 и Vista.
По информации исследователя Лорана Гафье, дыра в Windows 7 делает возможным проведение атаки, вызывающей критическую системную ошибку, так называемый "голубой экран смерти". В своем блоге Гафье пишет, что причина бага – в драйвере SMB2 (Server Message Block 2). По его словам, SRV2.SYS неправильно обрабатывает дефектные заголовки SMB, обеспечивающие функциональность NEGOTIATE PROTOCOL REQUEST.[url]http://g-laurent.blogspot.com/2009/09/windows-vista7-smb20-negotiate-protocol.html[/url]
Кроме того, Гафье сообщил также, что уже связался по этому поводу с Microsoft. В комментариях к его сообщению пользователи говорят о том, что данная дыра может приводить не только к отказу в обслуживании, но и к удаленному выполнению кода.
В свою очередь, в Microsoft сообщили о том, что изучают проблему, заявив при этом, что не имеют информации о случаях проведения затрагивающих клиентов атак с использованием этой уязвимости.
Впрочем, одно немецкое издание уже протестировало образец кода эксплоита. В Windows Vista эксплоит вызвал перезагрузку, а в Windows 7 вообще не сработал.
Создатель Metasploit, известный эксперт HD Moore во вторник написал на Twitter, что баг в SMB, по всей видимости, появился в Vista SP1, а программист Джош Гобел сообщил о том, что добавил код эксплоита в Metasploit.
[url]http://pastie.org/609407[/url]
Всем доброго времени суток!
Увы, я только что столкнулся с проблемой "синего экрана" и пресловутового упоминания srv2.sys Система - Vista SP1 (64bit) До этого комп работал в штатном режиме, качал файлы по торренту и - на тебе, синий экран, перезапустил винду, только только загрузился - и опять синий экран. Думал вначале дело в железе, заглянул в Интернет, оказывается новая уязвимость, свежачок можно сказать :))) Никогда не думал раньше что попадусь на все эти уязвимости. Параллельно установлена Windows XP SP 2 64, все нормально, никаких синих экранов. Пока работаю в ней. Надеюсь скоро проблему решат, вот только зайти в Windows Vista нет никакой возможности (разве что в безопасном режиме). Кто-нибудь знает как удалить этот зловредный код из безопасного режима?
[size="1"][color="#666686"][B][I]Добавлено через 8 часов 47 минут[/I][/B][/color][/size]
Уязвимость в реализации протокола SMB2 (Server Message Block 2), а точнее в механизме обработки клиентских запросов драйвером srv2.sys, обнаруженная Лораном Гаффи (Laurent Gaffié) может использоваться для вывода из строя удаленной системы под управлением Windows Vista. При проведении атаки составленный особым образом запрос становится причиной критической ошибки системы, устранить которую можно лишь путем перезагрузки компьютера.
Единственным условием для успешного проведения атаки является наличие открытого порта 445 на целевой системе (в Windows-системах этот порт является открытым по умолчанию). Опасности также подвергаются пользователи операционной системы Windows Server 2008, которая использует тот же драйвер SMB2. Обнаруженная уязвимость теоретически может использоваться для совершения DoS-атак или удаленного запуска произвольного кода на скомпрометированной системе.
Гаффи сообщил о своей находке разработчику операционной системы и спустя несколько дней Microsoft выпустила набор рекомендаций Security Advisory 975497, в котором описаны способы решения возникшей проблемы, а также дается ряд советов по минимизации риска. В частности, производитель предлагает пользователям самостоятельно отключить SMB v2 или закрыть доступ к TCP-портам 139 и 445 в настройках межсетевого экрана.
Согласно записи в персональном блоге Лорана Гаффи, уязвимости подвержена и новая операционная система Windows 7, однако Microsoft опровергает это заявление и добавляет, что уязвимость не распространяется на Windows Server 2008 R2.
В ближайшее время будет выпущен специальный патч, устраняющий уязвимость. По данным Microsoft на данный момент уязвимость ни разу не использовалась злоумышленниками для совершения атак на пользовательские системы.
P.S. В общем, возможное решение вышеописанной проблемы:
Нужно отключить протокол SMB 2.0 и (или) закрыть порты 139-445
Подробнее об отключении SMB 2.0: [url]http://www.microsoft.com/rus/technet/security/bulletin/ms07-063.mspx[/url]