Microsoft Security Advisory 921923
- 10/11/2017
- 8 minutes to read
- B
Tietoturvaneuvonta
todiste
julkaistu etäkäyttöyhteyksien hallintapalveluun vaikuttava konseptikoodi
julkaistu: 23.kesäkuuta 2006
Microsoft on tietoinen siitä, että Internetissä on julkaistu yksityiskohtaista hyödyntämiskoodia haavoittuvuudelle, jota käsitellään Microsoftin tietoturvatiedotteessa MS06-025. Microsoft ei ole tällä hetkellä tietoinen aktiivisista hyökkäyksistä, jotka käyttävät tätä hyväksikäyttökoodia tai asiakasvaikutuksista tällä hetkellä. Microsoft kuitenkin seuraa tilannetta aktiivisesti pitääkseen asiakkaat ajan tasalla ja tarjotakseen tarvittaessa asiakasohjausta.
meidän tutkimus tämän hyödyntää koodi on varmistanut, että se ei vaikuta asiakkaisiin, jotka ovat asentaneet päivitykset yksityiskohtaisesti MS06-025 tietokoneisiinsa. Microsoft suosittelee edelleen, että asiakkaat soveltavat päivityksiä asianomaisiin tuotteisiin mahdollistamalla Automaattiset päivitykset-ominaisuuden Windowsissa.
Microsoft on pettynyt siihen, että tietyt tietoturvatutkijat ovat rikkoneet yleisesti hyväksyttyä alan käytäntöä, jonka mukaan haavoittuvuustiedot salataan niin lähellä päivitysjulkaisua, ja julkaisseet exploit-koodia, mikä saattaa vahingoittaa tietokoneen käyttäjiä. Kehotamme edelleen tietoturvatutkijoita paljastamaan haavoittuvuustiedot vastuullisesti ja antamaan asiakkaille aikaa ottaa käyttöön päivityksiä, jotta he eivät auta rikollisia heidän yrittäessään hyödyntää ohjelmistojen haavoittuvuuksia
lieventävät tekijät:
- MS06-025-tietoturvapäivityksen asentaneisiin asiakkaisiin tämä haavoittuvuus ei vaikuta.
- Windows 2000-järjestelmät ovat ensisijaisesti vaarassa tämän haavoittuvuuden vuoksi. Windows 2000-käyttöjärjestelmää käyttävien asiakkaiden tulisi ottaa MS06-025 käyttöön mahdollisimman pian tai poistaa RASMAN-palvelu käytöstä.
- Windows XP Service Pack 2: ssa, Windows Server 2003: ssa ja Windows Server 2003 Service Pack 1: ssä hyökkääjällä tulisi olla voimassa olevat kirjautumistiedot haavoittuvuuden hyödyntämiseksi.
- tämä kysymys ei vaikuta Windows 98: aan, Windows 98 SE: hen tai Windows Millennium Editioniin.
yleistä tietoa
yleiskatsaus
neuvonnan tarkoitus: ilmoitus tietoturvapäivityksen saatavuudesta tämän mahdollisen uhan torjumiseksi.
neuvoa-antava asema: koska tätä asiaa käsitellään jo osana MS06-025-turvallisuustiedotetta, lisäpäivitystä ei tarvita.
suositus: Asenna MS06-025-tietoturvapäivitys suojaamaan tätä haavoittuvuutta vastaan.
Identification | |
---|---|
CVE Reference | CVE-2006-2370 |
CVE-2006-2371 | |
Security Bulletin | MS06-025 |
This advisory discusses the following software.
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1 ja Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 ja Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 Itanium-pohjaisten järjestelmien ja Microsoft Windows Server 2003 Itanium-pohjaisten järjestelmien SP1: n kanssa
Microsoft Windows Server 2003 x64 Edition
Usein kysyttyjä kysymyksiä
mikä on neuvonnan laajuus?
Microsoft on tietoinen Microsoftin tietoturvapäivityksessä MS06-025 tunnistettujen haavoittuvuuksien hyödyntämiskoodin julkisesta julkaisemisesta. Tämä vaikuttaa ohjelmistoon, joka on lueteltu ”Yleiskatsaus” – osiossa
onko kyseessä tietoturvahaavoittuvuus, joka vaatii Microsoftilta tietoturvapäivityksen?
Ei. Tämä haavoittuvuus ei vaikuta asiakkaisiin, jotka ovat asentaneet MS06-025-tietoturvapäivityksen. Lisäpäivitystä ei tarvita.
mikä tämän uhan aiheuttaa?
hallitsematon puskuri reititys-ja Etäkäyttötekniikoissa, jotka vaikuttavat erityisesti etäkäyttöyhteyksien hallintapalveluun (RASMAN)
Mitä ominaisuus tekee?
etäkäyttöyhteyksien hallinta on palvelu, joka hoitaa etäpalvelimeen muodostettavan yhteyden muodostamisen yksityiskohdat. Tämä palvelu tarjoaa asiakkaalle myös tilatietoja yhteyden käytön aikana. Etäkäyttöyhteyksien hallinta käynnistyy automaattisesti, kun sovellus lataa RASAPI32: n.DLL
mihin hyökkääjä voi käyttää tätä toimintoa?
hyökkääjä, joka onnistui hyödyntämään tätä haavoittuvuutta, saattoi ottaa kyseisen järjestelmän täysin hallintaansa.
onko Microsoftin tietoturvapäivityksen MS06-025 asentamisessa tunnettuja ongelmia, jotka suojaavat tältä uhalta?
Microsoft Knowledge Base Article 911280documents the currently known issues that customers may experience when they install they security update. KB-artikkelissa yksilöidyt ongelmat vaikuttavat vain asiakkaisiin, jotka käyttävät dial-up-yhteyksiä, jotka käyttävät skriptejä, jotka määrittävät laitteensa pariteetin, pysäyttävät bitit tai databitit tai yhteyden jälkeisen pääteikkunan tai dial-up-skriptauksen. Jos asiakkaat eivät käytä mitään tunnistetuista dial-up skenaarioista, heitä kehotetaan asentamaan päivitys välittömästi..
ehdotetut toimet
Jos olet asentanut Tietoturvatiedotteella MS06-025 julkaistun päivityksen, olet jo suojattu hyökkäykseltä, joka on tunnistettu julkisesti julkaistussa proof of concept-koodissa. Jos et ole asentanut päivitystä tai jokin Microsoft Knowledge Base Article 911280-artikkelissa yksilöidyistä skenaarioista vaikuttaa asiakkaisiin, he kannustavat poistamaan etäkäyttöyhteyksien hallintapalvelun käytöstä.
-
Poista käytöstä etäkäyttöyhteyksien hallintapalvelu
etäkäyttöyhteyksien hallintapalvelun poistaminen käytöstä auttaa suojaamaan kyseistä järjestelmää yrityksiltä hyödyntää tätä haavoittuvuutta. Jos haluat poistaa Rasman-palvelun (Remote Access Connection Manager) käytöstä, toimi seuraavasti:
- Valitse Käynnistä ja valitse sitten Ohjauspaneeli. Valitse vaihtoehtoisesti Asetukset ja valitse sitten Ohjauspaneeli.
- kaksoisnapsauta hallintatyökaluja.
- kaksoisnapsauta palvelut.
- kaksoisnapsauta etäkäytön Yhteyksienhallintaa
- Käynnistystyyppiluettelossa, valitse poistettu käytöstä.
- napsauta Pysäytä ja valitse sitten OK.
Voit myös pysäyttää ja poistaa Rasman (Remote Access Connection Manager) – palvelun käytöstä käyttämällä seuraavaa komentokehotteessa olevaa komentoa:
sc stop rasman & sc config rasman start= disabled
Workaroundin vaikutus: Jos etäkäyttöyhteyksien hallintapalvelu poistetaan käytöstä, et voi tarjota reitityspalveluja muille isännille lähiympäristöissä ja laajakaistaverkko-ympäristöissä. Siksi suosittelemme tätä kiertotapaa vain järjestelmissä, jotka eivät vaadi RASMANIN käyttöä etäkäyttöön ja reititykseen.
-
Block the following at the firewall:
- UDP-portit 135, 137, 138 ja 445 sekä TCP-portit 135, 139, 445 ja 593
- kaikki pyytämättä saapuva liikenne yli 1024: n porteilla
- mikä tahansa muu erikseen konfiguroitu RPC-portti
näitä portteja käytetään RPC-yhteyden aloittamiseen. Niiden estäminen palomuurissa auttaa suojaamaan palomuurin takana olevia järjestelmiä yrityksiltä hyödyntää tätä haavoittuvuutta. Myös, varmista, että estät muita erityisesti määritetty RPC portti etäjärjestelmässä. Suosittelemme, että estät kaiken ei-toivotun saapuvan viestinnän Internetistä estääksesi hyökkäyksiä, jotka saattavat käyttää muita portteja. Lisätietoja RPC: n käyttämistä porteista on seuraavalla verkkosivustolla.
-
suojautuaksesi verkkopohjaisilta yrityksiltä hyödyntää tätä haavoittuvuutta, käytä henkilökohtaista palomuuria, kuten Internet-yhteyden palomuuria, joka on mukana Windows XP: ssä ja Windows Server 2003: ssa.
oletuksena Internet-yhteyden palomuuritoiminto Windows XP: ssä ja Windows Server 2003: ssa auttaa suojaamaan Internet-yhteyttäsi estämällä ei-toivotun saapuvan liikenteen. Suosittelemme, että estät kaiken pyytämättä tulevan viestinnän Internetistä. Windows XP Service Pack 2: ssa tätä ominaisuutta kutsutaan Windowsin palomuuriksi.
Jos haluat ottaa Internet-yhteyden palomuuritoiminnon käyttöön ohjatun Verkkoasetustoiminnon avulla, toimi seuraavasti:
- Valitse Käynnistä ja valitse sitten Ohjauspaneeli.
- valitse oletuskategorianäkymässä verkko-ja internetyhteydet ja valitse sitten Setup tai change your home or small office network. Internet – yhteyden palomuuritoiminto on käytössä, kun valitset ohjatussa Verkkoasetuksessa määrityksen, joka osoittaa, että järjestelmäsi on kytketty suoraan Internetiin.
Jos haluat määrittää Internet-yhteyden palomuurin manuaalisesti, toimi seuraavasti:
- Valitse Käynnistä ja valitse sitten Ohjauspaneeli.
- valitse oletuskategorianäkymässä verkko-ja internetyhteydet ja valitse sitten Verkkoyhteydet.
- napsauta hiiren kakkospainikkeella yhteyttä, jolla haluat ottaa Internet-yhteyden palomuurin käyttöön, ja valitse sitten Ominaisuudet.
- napsauta Lisäasetukset-välilehteä.
- napsauttamalla tätä voit valita Protect my computer or network rajoittamalla tai estämällä pääsyn tähän tietokoneeseen Internet-valintaruudusta ja valitsemalla sitten OK.
huomaa, että jos haluat ottaa tietyt ohjelmat ja palvelut käyttöön palomuurin kautta, valitse Lisäasetukset-välilehdestä Asetukset ja valitse sitten vaadittavat ohjelmat, protokollat ja palvelut.
-
asiakkaiden, jotka uskovat joutuneensa hyökkäyksen kohteeksi, tulisi ottaa yhteyttä paikalliseen FBI: n toimistoon tai lähettää valituksensa internet-petosten Valituskeskuksen verkkosivuille. Yhdysvaltojen ulkopuolella olevien asiakkaiden tulee ottaa yhteyttä maansa kansalliseen lainvalvontaviranomaiseen.
-
asiakkaat theussa.S. ja Kanada, joka uskoo, että tämä mahdollinen haavoittuvuus on vaikuttanut heihin, voi saada teknistä tukea Microsoftin tuotetukipalveluista osoitteessa 1-866-PCSAFETY. Tietoturvapäivitysongelmiin tai viruksiin liittyvästä tuesta ei peritä maksua.”Kansainväliset asiakkaat voivat saada tukea käyttämällä mitä tahansa menetelmiä, jotka on lueteltu Security Help and Support for Home Users-sivustolla.
kaikkien asiakkaiden tulisi käyttää viimeisimpiä Microsoftin julkaisemia tietoturvapäivityksiä varmistaakseen, että heidän järjestelmänsä ovat suojattuja hyväksikäyttöyrityksiltä. Asiakkaat, jotka ovat ottaneet Automaattiset päivitykset käyttöön, saavat automaattisesti kaikki Windows-päivitykset. Lisätietoja tietoturvapäivityksistä löytyy Microsoftin tietoturva-sivustolta. -
lisätietoja turvallisesta oleskelusta Internetissä asiakkaat voivat käydä theMicrosoft Securityn Kotisivulla.
Pidä Windows Ajan tasalla
kaikkien Windows-käyttäjien tulisi käyttää viimeisimpiä Microsoftin tietoturvapäivityksiä varmistaakseen, että heidän tietokoneensa ovat mahdollisimman suojattuja. Jos et ole varma, onko ohjelmisto ajan tasalla, käy Windows Update-sivustolla, skannaa tietokoneesi saatavilla olevien päivitysten varalta ja asenna sinulle tarjotut tärkeät päivitykset. Jos sinulla on automaattiset päivitykset käytössä, päivitykset toimitetaan sinulle, kun ne julkaistaan, mutta sinun on varmistettava, että asennat ne.
Muut tiedot
resurssit:
- voit antaa palautetta täyttämällä lomakkeen käymällä seuraavalla verkkosivustolla.
- asiakkaat Yhdysvalloissa ja Kanada voi saada teknistä tukea Microsoftin tuotetukipalveluista. Lisätietoja käytettävissä olevista tukivaihtoehdoista on Microsoftin Ohje-ja tukisivuilla.
- Kansainväliset asiakkaat voivat saada tukea paikallisilta Microsoftin tytäryhtiöiltään. Lisätietoja siitä, miten voit ottaa yhteyttä Microsoftiin kansainvälisissä tukiasioissa, on International Support Web-sivustolla.
- Microsoft TechNet Security-sivusto tarjoaa lisätietoja Microsoftin tuotteiden tietoturvasta.
Vastuuvapauslauseke:
tässä neuvonnassa annetut tiedot annetaan ”sellaisenaan” ilman minkäänlaista takuuta. Microsoft kiistää kaikki takuut, joko nimenomaiset tai epäsuorat, mukaan lukien takuut kaupallisesta hyväksyttävyydestä ja soveltuvuudesta tiettyyn tarkoitukseen. Microsoft Corporation tai sen toimittajat eivät missään tapauksessa ole vastuussa mistään vahingoista, mukaan lukien suorat, epäsuorat, satunnaiset, välilliset, liiketoiminnan voittojen menetykset tai erityiset vahingot, vaikka Microsoft Corporationille tai sen toimittajille olisi ilmoitettu tällaisten vahinkojen mahdollisuudesta. Jotkin valtiot eivät salli välillisistä tai satunnaisista vahingoista johtuvan vastuun poissulkemista tai rajoittamista, joten edellä mainittua rajoitusta ei voida soveltaa.
Revisions:
- June 23, 2006 Advisory published