Обе эти уязвимости связаны с обработкой RPC запросов и представляют
большую опасность для пользователей, которые не установили исправления.
Уязвимость в службе Server в данный момент эксплуатируется червем
Gimmiv.A. По данным SANS в данный момент существует два варианта
распространения: посредством самого эксплоита и через P2P сеть (Emule).
В настоящий момент известны следующие образцы злонамеренного кода:
Вышеописанные уязвимости представляют большую опасность для компаний
и для отдельных пользователей в сетях, где отсутствуют механизмы
идентификации уязвимых хостов (таких как XSpider, MaxPatrol или MBSA).
Positive Technologies выпустила сетевую утилиту
для идентификации уязвимостей, описанных в бюллетенях безопасности
MS08-065 и MS08-067. Для проверки достаточно иметь доступ только к
портам сервисов NetBIOS (445/tcp) и Message Queuing (2103/tcp).
На рисунке изображены результаты сканирования:
С помощью этой утилиты системные администраторы смогут быстро и
легко выявить уязвимые системы и установить соответствующие
исправления.
Загрузить утилиту проверки.
Ссылки
http://www.f-secure.com/weblog/archives/00001526.html
http://www.shadowserver.org/wiki/pmwiki.php?n=Calendar.20081030
http://blog.threatexpert.com/2008/10/gimmiva-exploits-zero-day-vulnerability.html
http://honeytrap.mwcollect.org/msexploit
http://isc.sans.org/diary.html?storyid=5288&rss
http://isc.sans.org/diary.html?storyid=5275&rss
http://www.securitylab.ru/analytics/361827.php
http://www.securitylab.ru/vulnerability/361179.php
http://www.securitylab.ru/vulnerability/361770.php
http://www.microsoft.com/technet/security/bulletin/MS08-065.mspx
http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx
http://blogs.msdn.com/sdl/archive/2008/10/22/ms08-067.aspx
Ниже приведены подробности о проверяемых уязвимостях.
MS08-065 или уязвимость в Message Queuing Service
Уязвимые системы: |
Microsoft Windows 2000 |
Уязвимый компонент: |
служба Message Queuing (MSMQ) |
Максимальное воздействие: |
Выполнение произвольного кода с привилегиями учетной записи SYSTEM |
Наличие эксплоита в публичном доступе: |
Нет |
Идентификатор CVE: |
CVE-2008-3479 |
Вектор эксплуатации: |
удаленный |
Дополнительные условия: |
служба по умолчанию отключена |
Рейтинг опасности SecurityLab: |
средний |
Краткое описание уязвимости
Уязвимость существует из-за переполнения динамической памяти в
службе Message Queing Service (mqsvc.exe) при обработке RPC запросов.
Удаленный неавторизованный пользователь может отправить уязвимой
системе специально сформированный RPC запрос и выполнить произвольный
код на целевой системе с привилегиями учетной записи SYSTEM. Для
выполнения кода злоумышленнику придется произвести тайминг атаку.
Способы противодействия
Заблокировать входной трафик:
- к портам выше 1024
- к любому другому RPC порту
Отключить уязвимую службу: sc stop MSMQ & sc config MSMQ start= disabled
Установить исправление: http://www.microsoft.com/downloads/details.aspx?familyid=899e2728-2433-4ccb-a195-05b5d65e5469&displaylang=en
MS08-067 или уязвимость в службе Server
Уязвимые системы: |
Microsoft
Windows 2000, Microsoft Windows XP, Microsoft Windows Server 2003,
Microsoft Windows Vista, Microsoft Windows Server 2008 |
Уязвимый компонент: |
служба Server |
Максимальное воздействие: |
Выполнение произвольного кода с привилегиями учетной записи SYSTEM |
Наличие эксплоита в публичном доступе: |
Да. Уязвимость активно эксплуатируется червем Gimmiv.A. |
Идентификатор CVE: |
CVE-2008-4250 |
Вектор эксплуатации: |
удаленный |
Дополнительные условия: |
служба по умолчанию отключена |
Рейтинг опасности SecurityLab: |
критический |
Краткое описание уязвимости
Уязвимость существует из-за переполнения буфера в службе Server при
обработке RPC запросов. Удаленный пользователь может с помощью
специально сформированного RPC запроса вызвать переполнение стека и
выполнить произвольный код на целевой системе. Для удачной эксплуатации
уязвимости на Windows Vista и Windows Server 2008 атакующий должен
успешно аутентифицироваться на системе.
Способы противодействия
Способы противодействия описаны в статье Подробности уязвимости MS08-067.
Загрузить утилиту проверки.
|