Microsoft Security Advisory 921923
- 10/11/2017
- 8 minuten te lezen
-
- B
Security Advisory
Proof-of-Concept Code Gepubliceerd Invloed zijn op de Remote Access Connection Manager-Service
Gepubliceerd: 23 juni 2006
Microsoft is zich ervan bewust dat gedetailleerde exploit code is gepubliceerd op het Internet voor het beveiligingsprobleem dat is beschreven in Microsoft security bulletin MS06-025. Microsoft is momenteel niet op de hoogte van actieve aanvallen die gebruik maken van deze exploit code of van de impact van de klant op dit moment. Microsoft houdt deze situatie echter actief in de gaten om klanten op de hoogte te houden en zo nodig klantbegeleiding te bieden.
Ons onderzoek van deze exploit code heeft geverifieerd dat het geen invloed heeft op klanten die de updates gedetailleerd in MS06-025 op hun computers hebben geïnstalleerd. Microsoft blijft aanbevelen dat klanten de updates toe te passen op de getroffen producten door het inschakelen van de automatische Updates functie in Windows.
Microsoft is teleurgesteld dat bepaalde beveiligingsonderzoekers de algemeen geaccepteerde praktijk in de industrie hebben overtreden om kwetsbaarheidsgegevens zo dicht bij de update-release achter te houden en exploit code hebben gepubliceerd, waardoor computergebruikers mogelijk schade kunnen ondervinden. We blijven beveiligingsonderzoekers aansporen om kwetsbaarheidsinformatie op verantwoorde wijze bekend te maken en klanten de tijd te geven om updates in te zetten, zodat ze criminelen niet helpen in hun poging om te profiteren van softwarekwetsbaarheden
verzachtende factoren:
- klanten die de MS06-025 beveiligingsupdate hebben geïnstalleerd, worden niet beïnvloed door deze kwetsbaarheid.
- Windows 2000-systemen lopen voornamelijk risico door deze kwetsbaarheid. Klanten met Windows 2000 moeten MS06-025 zo snel mogelijk implementeren of de RASMAN-service uitschakelen.
- op Windows XP Service Pack 2, Windows Server 2003 en Windows Server 2003 Service Pack 1 moet de aanvaller geldige aanmeldingsreferenties hebben om de kwetsbaarheid te kunnen benutten.
- Dit probleem heeft geen invloed op Windows 98, Windows 98 SE of Windows Millennium Edition.
Algemene informatie
overzicht
doel van advies: kennisgeving van de beschikbaarheid van een beveiligingsupdate ter bescherming tegen deze potentiële bedreiging.
adviserende Status: aangezien dit probleem al wordt behandeld als onderdeel van het MS06-025 beveiligingsbulletin, is geen aanvullende update vereist.
aanbeveling: installeer MS06-025 beveiligingsupdate om te helpen beschermen tegen deze kwetsbaarheid.
Identification | |
---|---|
CVE Reference | CVE-2006-2370 |
CVE-2006-2371 | |
Security Bulletin | MS06-025 |
This advisory discusses the following software.
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1 en Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 en Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 voor Itanium-Systemen en Microsoft Windows Server 2003 met SP1 voor Itanium-Systemen
Microsoft Windows Server 2003 x64 Edition
veelgestelde Vragen
Wat is de reikwijdte van het advies?
Microsoft is zich bewust van het openbaar plaatsen van exploit code gericht op kwetsbaarheden geïdentificeerd in Microsoft Security Update MS06-025. Dit is van invloed op de software die wordt vermeld in de sectie “Overzicht”
is dit een beveiligingsprobleem dat Microsoft vereist om een beveiligingsupdate uit te geven?
nr. Klanten die de MS06-025 beveiligingsupdate hebben geïnstalleerd, worden niet beïnvloed door deze kwetsbaarheid. Er is geen extra update vereist.
Wat veroorzaakt deze bedreiging?
Een niet-aangevinkte buffer in routerings-en ras-technologieën die specifiek van invloed zijn op de Rasman-Service (Remote Access Connection Manager Service)
wat doet de functie?
De Remote Access Connection Manager is een service die de details van het tot stand brengen van de verbinding met de remote server afhandelt. Deze service biedt de client ook statusinformatie tijdens de verbindingsoperatie. De Rasapi32 wordt automatisch gestart wanneer een toepassing de RASAPI32 laadt.DLL
waarvoor zou een aanvaller deze functie kunnen gebruiken?
een aanvaller die deze kwetsbaarheid met succes benut kan de volledige controle over het getroffen systeem te nemen.
zijn er bekende problemen met het installeren van Microsoft Security Update MS06-025 die beschermt tegen deze bedreiging?Microsoft Knowledge Base artikel 911280 documenteert de momenteel bekende problemen die klanten kunnen ondervinden wanneer zij de beveiligingsupdate installeren. Alleen klanten die inbelverbindingen gebruiken die scripts gebruiken waarmee hun apparaat wordt geconfigureerd voor pariteit, stop-bits of gegevensbits of een post-connect terminalvenster of inbelscripting, worden beïnvloed door de problemen die worden geïdentificeerd in het KB-artikel. Als klanten geen van de geïdentificeerde inbelscenario ‘ s gebruiken, worden ze aangemoedigd om de update onmiddellijk te installeren..
voorgestelde acties
Als u de update die is uitgebracht met Security Bulletin MS06-025 hebt geïnstalleerd, bent u al beschermd tegen de aanval die is geïdentificeerd in de publiekelijk geplaatste proof of concept code. Als u de update niet hebt geïnstalleerd of als u wordt beïnvloed door een van de scenario ‘ s die zijn geïdentificeerd in Microsoft Knowledge Base artikel 911280, moedigen klanten aan om de Remote Access Connection Manager-Service uit te schakelen.
-
deactiveer de Remote Access Connection Manager-service
het uitschakelen van de Remote Access Connection Manager-service helpt het getroffen systeem te beschermen tegen pogingen om deze kwetsbaarheid te benutten. Als u de Rasman-service (Remote Access Connection Manager) wilt uitschakelen, volgt u deze stappen:
- klik op Start en klik vervolgens op Configuratiescherm. U kunt ook Instellingen aanwijzen en vervolgens op Configuratiescherm klikken.
- Dubbelklik op Systeembeheer.
- Dubbelklik op Services.
- Dubbelklik op Extern Toegangsverbindingsbeheer
- in de lijst Opstarttype klikt u op Uitgeschakeld.
- klik op Stoppen en klik vervolgens op OK.
U kunt de Rasman-service (Remote Access Connection Manager) ook stoppen en uitschakelen met het volgende commando op de opdrachtprompt:
sc stop rasman & sc config rasman start= disabled
Impact van Workaround: Als u de RAS-Verbindingsbeheer-service uitschakelt, kunt u geen routeringsservices aanbieden aan andere hosts in lokale en wide area netwerkomgevingen. Daarom raden we deze tijdelijke oplossing alleen aan op systemen waarvoor geen gebruik van RASMAN nodig is voor toegang op afstand en routing.
-
blokkeer het volgende bij de firewall:
- UDP-poorten 135, 137, 138, en 445, en TCP-poorten 135, 139, 445 en 593
- alle ongevraagd binnenkomend verkeer op poorten groter dan 1024
- elke andere specifiek geconfigureerde RPC-poort
deze poorten worden gebruikt om een verbinding met RPC te starten. Het blokkeren van de firewall helpt de systemen die achter die firewall zitten te beschermen tegen pogingen om deze kwetsbaarheid te exploiteren. Zorg er ook voor dat u elke andere specifiek geconfigureerde RPC-poort op het externe systeem blokkeert. We raden u aan alle ongevraagde inkomende communicatie vanaf het Internet te blokkeren om aanvallen die mogelijk andere poorten gebruiken, te voorkomen. Ga naar de volgende website voor meer informatie over poorten die RPC gebruikt.
-
gebruik een persoonlijke firewall, zoals de Firewall voor internetverbindingen, die bij Windows XP en Windows Server 2003 wordt meegeleverd.
standaard helpt de Firewall van de internetverbinding in Windows XP en in Windows Server 2003 uw internetverbinding te beschermen door ongevraagd binnenkomend verkeer te blokkeren. Wij raden u aan alle ongevraagde inkomende communicatie van het Internet te blokkeren. In Windows XP Service Pack 2 wordt deze functie de Windows Firewall genoemd.
Als u de Firewall-functie voor internetverbinding wilt inschakelen met de Wizard netwerkinstellingen, volgt u de volgende stappen:
- klik op Start en klik vervolgens op Configuratiescherm.
- klik in de standaard categorieweergave op Netwerk-en internetverbindingen en klik vervolgens op Instellen of uw thuisnetwerk of klein kantoornetwerk wijzigen. De Firewall voor internetverbinding wordt ingeschakeld wanneer u in de wizard netwerkinstellingen een configuratie selecteert die aangeeft dat uw systeem rechtstreeks met Internet is verbonden.
als u de Firewall van een internetverbinding handmatig wilt configureren voor een verbinding, volgt u deze stappen:
- klik op Start en klik vervolgens op Configuratiescherm.
- klik in de standaard categorieweergave op Netwerk-en internetverbindingen en klik vervolgens op Netwerkverbindingen.
- Klik met de rechtermuisknop op de verbinding waarop u internetverbinding Firewall wilt inschakelen en klik vervolgens op Eigenschappen.
- klik op het tabblad Geavanceerd.
- schakel het selectievakje Mijn computer of netwerk beschermen door de toegang tot deze computer vanuit Internet te beperken of te voorkomen in en klik vervolgens op OK.
Opmerking Als u bepaalde programma ’s en services wilt laten communiceren via de firewall, klikt u op Instellingen op het tabblad Geavanceerd en selecteert u vervolgens de programma’ s, protocollen en services die nodig zijn.
-
klanten die denken aangevallen te zijn, dienen contact op te nemen met hun lokale FBI-kantoor of hun klacht te posten op de website van het internet Fraud Complaint Center. Klanten buiten de VS moeten contact opnemen met de nationale wetshandhavingsinstantie in hun land.
-
klanten in de EU.S. en Canada die geloven dat ze kunnen zijn getroffen door deze mogelijke kwetsbaarheid kan technische ondersteuning ontvangen van Microsoft Product Support Services op 1-866-PCSAFETY. Er zijn geen kosten voor ondersteuning die wordt geassocieerd met beveiligingsupdate problemen of virussen.”Internationale klanten kunnen ondersteuning krijgen door gebruik te maken van een van de methoden die worden vermeld op Security Help and Support for Home Users website.
alle klanten moeten de meest recente beveiligingsupdates van Microsoft toepassen om ervoor te zorgen dat hun systemen beschermd zijn tegen poging tot Exploitatie. Klanten die automatische Updates hebben ingeschakeld, ontvangen automatisch alle Windows-updates. Ga voor meer informatie over beveiligingsupdates naar de Microsoft Security-website. -
voor meer informatie over veilig blijven op het Internet, kunnen klanten de startpagina van Microsoft Security bezoeken.
-
houd Windows bijgewerkt
alle Windows-gebruikers moeten de nieuwste beveiligingsupdates van Microsoft toepassen om ervoor te zorgen dat hun computers zo beveiligd mogelijk zijn. Als u niet zeker weet of uw software up-to-date is, gaat u naar de Windows Update-website, scant u uw computer voor beschikbare updates en installeert u updates met hoge prioriteit die u worden aangeboden. Als u automatische Updates hebt ingeschakeld, worden de updates aan u geleverd wanneer ze worden vrijgegeven, maar u moet ervoor zorgen dat u ze installeert.
Overige informatie
bronnen:
- u kunt feedback geven door het formulier in te vullen door de volgende website te bezoeken.
- klanten in de VS en Canada kan technische ondersteuning krijgen van Microsoft Product Support Services. Zie de Microsoft Help and Support-website voor meer informatie over beschikbare ondersteuningsopties.
- internationale klanten kunnen ondersteuning krijgen van hun lokale Microsoft-dochterondernemingen. Ga voor meer informatie over hoe u contact kunt opnemen met Microsoft voor internationale ondersteuningsproblemen naar de website van International Support.
- de Microsoft TechNet Security – website biedt aanvullende informatie over beveiliging in Microsoft-producten.
Disclaimer:
De in dit advies verstrekte informatie wordt “in de huidige staat” verstrekt zonder enige vorm van garantie. Microsoft wijst alle garanties af, expliciet of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval zal Microsoft Corporation of haar leveranciers aansprakelijk zijn voor enige schade, inclusief directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinsten of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.
revisies:
- 23 juni 2006 advies gepubliceerd