Подробности уязвимости MS08-067 - 27 Октября 2008 - tHR

Меню

Календарь

Статистика
	Ваш IP: 18.97.9.173 Вы используете: v Сейчас на сайте: Тех поддержка ->

Облако тэгов

Брутер для мыла ОС видио сайта сторона Tor Обратная антенна для Направляющяя php а mt_rand() эксплоит обзор популярных связок Windows Server 2008 PPTP FreeBSD Jail QIP Virtual openvz Tune sysctl proc kernel freeBSD Qemu bridge LiveCD GEO Bluetooth game Video emulator Shell Python армия червь Conficker вирус троян лаборатория касперского пиратство Apple iPhone Microsoft twitter социальная сеть анонимность приватность лицензия Open Source уязвимость MySQL база данных Закон Франция Пират Skype мобильный хакер trend micro кибератака Германия робот Персональные данные Ноутбук Интернет китай цензура windows vista Linux патент браузер Firefox Internet Explorer Opera Safari Intel патч Oracle Банкомат IBM Интерпол США Dell контроль кибербезопасность приговор Mozilla Chrome безопасность Госдума СМИ Windows 8 Пираты взлом Пентагон Украина Facebook Cisco Windows XP нетбук торрент музыка Биометрический Nokia ФБР IP-адрес sms RSA java флешки Google Captcha Symantec Спам Антивирус тест Windows 7 операционная система windows провайдер авторское право rapidshare UNIX свиной грипп шантаж Дети копирайт McAfee HTTPS icann студент Норвегия New York Times YouTube Warner Music КНДР Ubuntu касперский Россия РФ сервер хостинг Принтер Wi-Fi суд пароль логин блог фишинг одноклассники Медведев контрафакт мошенник sony Gps по JavaScript Хакеры Yahoo фас компьютер софт Минкомсвязи праздник Сбой мошенничество Доктор ВЕб Вконтакте исходный код МВД фильтр порнография свобода слова казахстан Universal Music Sony Music сисадмин Autodesk Gmail кредитная карта сомали LiveJournal шифрование банк кодек Нанотехнологии военная техника wikipedia выборы DNS Android атака Mac OS X домен ФСБ прокуратура уголовное дело ICQ Visual Basic Sophos ошибка военные DARPA сайт Онлайн игра турция конференция спамер Полиция фоторобот Koobface Великобритания белоруссия Грузия Европа Билл Гейтс спецслужбы терроризм Royal Bank of Scotland смартфон vodafone F-Secure Symbian трафик фильм инновации Microsoft Office Новая Зеландия Дата-центр Adobe Австралия госуслуги вымогатель IDC новости Internet Explorer 9 iPad Ирландия поиск МТС Реклама слежка BSD Zeus личные данные eset защита виртуализация Черный список BlackBerry индия Москва DVD Голосование социальные сети flash player paypal BitDefender email сертификат Anonymous WebM технологии Ассанж Оптоволокно передача данных пошлина арест Samsung Иск компания учетная запись коррупция вебинар исследование Санкт-Петербург Обновление OpenStreetMap вандализм SOPA PIPA тендер Megaupload CES Мобильный телефон NTFS отчет приложение правительство Инвестиции ГЛОНАСС видеонаблюдение платформа DDoS-атака роскомнадзор Контент Устройство ИНСТРУМЕНТ

Главная » » Подробности уязвимости MS08-067

10:10

Подробности уязвимости MS08-067

Вчера Microsoft выпустила внеплановое исправление MS08-067, устраняющее критическую уязвимость в службе Server во всех ОС Windows. В этой статье мы сделаем попытку изложить максимальное количество подробностей и дать рекомендации по устранению уязвимости.

Краткое описание уязвимости

Уязвимость существует из-за ошибки в библиотеке netapi32.dll при обработке RPC запросов в службе Server. Удаленный пользователь может с помощью специально сформированного RPC запроса вызвать переполнение буфера в стеке и вызвать отказ в обслуживании системы или выполнить произвольный код на целевой системе с привилегиями учетной записи SYSTEM.

Технические подробности уязвимости

Уязвимость существует в библиотеке netapi32.dll из-за ошибки в механизме подсчета аргументов функции wcscpy_s(dest, len, source), расширяемой макрос
_tcscpy_s(previousLastSlash, pBufferEnd - previousLastSlash, ptr + 2);
который в цикле while() обрабатывает большое количество постоянно обновляемых аргументов.

Потенциальная опасность уязвимости

SecurityLab выставил максимальный рейтинг опасности уязвимости - критический. Эта уязвимость активно эксплуатируется в настоящее время и в общем доступе на момент написания этой статьи находится PoC код.

Уязвимость может эксплуатироваться анонимным пользователем на Windows 2000/XP/2003 и аутентифицированным пользователем на Windows Vista/2008. Для успешной эксплуатации уязвимости атакующему потребуется получить доступ к RPC интерфейсу системы. По умолчанию, межсетевой экран (МСЭ) включен на Windows XP SP2, Windows Vista и Windows Server 2008. Итак, злоумышленник может воспользоваться уязвимость в следующих случаях:

МСЭ отключен
МСЭ включен, но также разрешена служба доступа к файлам и принтерам

Следующая таблица демонстрирует опасность для каждой платформы:

Описание/векторы воздействия и механизмы защиты	Анонимный доступ	Аутентификация	DEP	ASLR	МСЭ
Windows 2000 – удаленное выполнение кода
Станция, подключенная к домену	+
Общий доступ к файлам и принтерам	+
Домашний ПК	+
Доступ к общим файлам (домашний ПК)	+
Windows XP SP2 – удаленное выполнение кода (DEP без ASLR)
Станция, подключенная к домену	+		+		*
Общий доступ к файлам и принтерам	+		+
Домашний ПК	+		+		+
Доступ к общим файлам (домашний ПК)	+		+
Windows Server 2003 – удаленное выполнение кода (DEP без ASLR)
Станция, подключенная к домену	+		+
Общий доступ к файлам и принтерам	+		+
Домашний ПК	+		+
Доступ к общим файлам (домашний ПК)	+		+
Windows Vista - отказ в обслуживании (DEP+ASLR)
Станция, подключенная к домену		+	+	+	*
Общий доступ к файлам и принтерам		+	+	+	**
Домашний ПК		+	+	+	+
Защищенный паролем доступ к общим файлам (домашний ПК)	+		+	+	*******
Windows Server 2008 - отказ в обслуживании (DEP+ASLR)
Станция, подключенная к домену		+	+	+	*
Общий доступ к файлам и принтерам		+	+	+	**
Домашний ПК		+	+	+	+
Защищенный паролем доступ к общим файлам (домашний ПК)	+		+	+	*******

Примечания:
* МСЭ включен по умолчанию без допускаемых исключений, хотя многие домены включают исключения.
** Общий доступ к файлам и принтерам включает исключение для соответствующего типа сетевого подключения. Общий доступ к частной сети не позволяет доступ из публичной сети.
*** Отключения пароля для доступа к общим ресурсам автоматически разрешает анонимные подключения.

Механизмы защиты и противодействия

Временное решение

Следующие инструкции позволят устранить или уменьшит риск удачной эксплуатации уязвимости, но могут повлиять на работу вашей сети.

1. Для всех ОС:

Отключить службы Сервер (Server)и Обозреватель сети (Computer Browser)
Блокировка доступа к портам 139/tcp и 445/tcp

2. Отфильтровать уязвимый RPC идентификатор.

Для Windows Vista и Windows 2008

В дополнение к блокированию портов, Windows Vista и Windows Server 2008 могут выборочно заблокировать RPC Universally Unique Identifiers (UUID). Для предотвращения уязвимости добавьте правило для блокирования всех RPC запросов с UUID, равным 4b324fc8-1670-01d3-1278-5a47bf6ee188. Пример:
netsh>rpc
netsh rpc>filter
netsh rpc filter>add rule layer=um actiontype=block
netsh rpc filter>add condition field=if_uuid matchtype=equal data=4b324fc8-1670-01d3-1278-5a47bf6ee188
netsh rpc filter>add filter
netsh rpc filter>quit
Filter Key – является случайным образом сгенерированный для вашей системы UUID. Для проверки работоспособности фильтра выполните команду:

netsh rpc filter show filter

Если добавление фильтра было успешным, в командной строке будут отображены следующие данные:

Listing all RPC Filters.

---------------------------------

filterKey: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

displayData.name: RPCFilter

displayData.description: RPC Filter

filterId: 0x12f79

layerKey: um

weight: Type: FWP_EMPTY Value: Empty

action.type: block

numFilterConditions: 1

где filterKey: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx равен вашему случайным образом сгенерированому UUID.

Для удаления фильтра после установки исправления следует выполнить следующую команду:

netsh rpc filter delete filter xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

Для МСЭ с возможностью фильтрации RPC трафика (например, ISA)

Создать правило блокировки RPC трафика по UUID 4b324fc8-1670-01d3-1278-5a47bf6ee188.

3. Изменить списки контроля доступа к уязвимому именному каналу

Microsoft разработала утилиту (http://blogs.technet.com/swi/attachment/3140932.ashx), которая может позволить изменить списки контроля доступа к именованному каналу в пределах сессии пользователя.

Пример использования:

Для службы Сервер:

C:\>chacl.exe \\.\pipe\srvsvc
opening up \\.\pipe\srvsvc
Got back 3 ACE entries
Found an entry for ANONYMOUS LOGON. Deleting it...
deleted that ACE

Для службы Обозреватель сети:

C:\>chacl.exe \\.\pipe\browser
opening up \\.\pipe\browser
Got back 3 ACE entries
Found an entry for ANONYMOUS LOGON. Deleting it...
deleted that ACE

Использование этой утилиты позволит удалить анонимный доступ из списка контроля доступа именных каналов, что ограничивает возможность атаки только аутентифицированными пользователями.

Примечание: это решение действует только в приделах сессии пользователя и после перезагрузки системы вышеперечисленные действия нужно будет повторно выполнить.