Microsoft Security Advisory 921923
- 10/11/2017
- 8 minut do przeczytania
-
- B
Security Advisory
dowód opublikowany kod koncepcyjny wpływający na usługę Menedżera połączeń zdalnego dostępu
opublikowano: 23 czerwca 2006
Microsoft jest świadomy, że w internecie został opublikowany szczegółowy kod exploita dotyczący luki, której dotyczy biuletyn bezpieczeństwa Microsoft MS06-025. Firma Microsoft nie jest obecnie świadoma aktywnych ataków wykorzystujących ten kod exploita ani wpływu na klienta. Jednak firma Microsoft aktywnie monitoruje tę sytuację, aby informować klientów i w razie potrzeby udzielać im wskazówek.
nasze badanie tego kodu exploita potwierdziło, że nie wpływa on na klientów, którzy zainstalowali aktualizacje opisane w MS06-025 na swoich komputerach. Firma Microsoft nadal zaleca klientom stosowanie aktualizacji do produktów, których dotyczą, poprzez włączenie funkcji automatycznych aktualizacji w systemie Windows.
Microsoft jest rozczarowany, że niektórzy badacze bezpieczeństwa naruszyli powszechnie przyjętą branżową praktykę ukrywania danych o lukach tak blisko wydania aktualizacji i opublikowali kod exploita, potencjalnie szkodzący użytkownikom komputerów. Nadal zachęcamy badaczy ds. bezpieczeństwa do odpowiedzialnego ujawniania informacji o lukach w zabezpieczeniach i dajemy klientom czas na wdrażanie aktualizacji, aby nie pomagali przestępcom w próbie wykorzystania luk w oprogramowaniu
czynniki łagodzące:
- klienci, którzy zainstalowali aktualizację zabezpieczeń MS06-025, nie są dotknięci tą luką.
- systemy Windows 2000 są przede wszystkim zagrożone tą luką. Klienci z systemem Windows 2000 powinni jak najszybciej wdrożyć MS06-025 lub wyłączyć usługę RASMAN.
- w systemach Windows XP z dodatkiem Service Pack 2, Windows Server 2003 i Windows Server 2003 z dodatkiem Service Pack 1 atakujący musiałby mieć poprawne poświadczenia logowania, aby wykorzystać lukę.
- ten problem nie dotyczy systemu Windows 98, Windows 98 SE ani Windows Millennium Edition.
Informacje ogólne
przegląd
cel porady: powiadomienie o dostępności aktualizacji zabezpieczeń w celu ochrony przed tym potencjalnym zagrożeniem.
Status Doradczy: ponieważ ten problem został już rozwiązany w biuletynie bezpieczeństwa MS06-025, nie jest wymagana dodatkowa aktualizacja.
zalecenie: zainstaluj aktualizację zabezpieczeń MS06-025, aby chronić przed tą luką.
Identification | |
---|---|
CVE Reference | CVE-2006-2370 |
CVE-2006-2371 | |
Security Bulletin | MS06-025 |
This advisory discusses the following software.
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1 i Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 i Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 dla systemów opartych na Itanium i Microsoft Windows Server 2003 z dodatkiem SP1 dla systemów opartych na Itanium
Microsoft Windows Server 2003 x64 Edition
Najczęściej zadawane pytania
Jaki jest zakres doradztwa?
Microsoft jest świadomy publikowania kodu exploita ukierunkowanego na luki w zabezpieczeniach zidentyfikowane w Microsoft Security Update MS06-025. Ma to wpływ na oprogramowanie wymienione w sekcji” Przegląd ”
czy jest to luka w zabezpieczeniach, która wymaga od firmy Microsoft wydania aktualizacji zabezpieczeń?
Nie. Ta luka nie dotyczy klientów, którzy zainstalowali aktualizację zabezpieczeń MS06-025. Nie jest wymagana dodatkowa aktualizacja.
Co powoduje to Zagrożenie?
niezaznaczony bufor w technologiach routingu i zdalnego dostępu, szczególnie wpływający na usługę Remote Access Connection Manager (RASMAN)
do czego służy ta funkcja?
Menedżer połączeń zdalnego dostępu to usługa, która obsługuje szczegóły nawiązania połączenia ze zdalnym serwerem. Usługa ta zapewnia również klientowi informacje o statusie podczas operacji połączenia. Menedżer połączeń zdalnego dostępu uruchamia się automatycznie, gdy aplikacja ładuje RASAPI32.DLL
do czego atakujący może użyć tej funkcji?
atakujący, który skutecznie wykorzystał tę lukę, może przejąć pełną kontrolę nad dotkniętym systemem.
czy są jakieś znane problemy z instalacją Microsoft Security Update MS06-025, która chroni przed tym zagrożeniem?
Microsoft Knowledge Base artykuł 911280dokumenty obecnie znane problemy, które klienci mogą napotkać podczas instalowania aktualizacji zabezpieczeń. Problemy opisane w artykule KB dotyczą tylko klientów, którzy używają Połączeń dial-up, które używają skryptów konfigurujących ich urządzenie pod kątem parzystości, bitów stopu lub bitów danych lub okna terminala po połączeniu lub skryptów dial-up. Jeśli klienci nie korzystają ze zidentyfikowanych scenariuszy połączenia telefonicznego, zachęcamy do natychmiastowego zainstalowania aktualizacji..
sugerowane działania
Jeśli masz zainstalowaną aktualizację wydaną z Biuletynem bezpieczeństwa MS06-025, jesteś już chroniony przed atakiem określonym w publicznie opublikowanym kodzie proof of concept. Jeśli aktualizacja nie została zainstalowana lub dotyczy jej którykolwiek ze scenariuszy określonych w art. 911280 bazy wiedzy firmy Microsoft, zachęcamy klientów do wyłączenia usługi Menedżer połączeń dostępu zdalnego.
-
Wyłącz usługę Menedżer połączeń zdalnego dostępu
wyłączenie usługi Menedżer połączeń zdalnego dostępu pomoże chronić system przed próbami wykorzystania tej luki. Aby wyłączyć usługę Menedżer połączeń zdalnego dostępu (RASMAN), wykonaj następujące czynności:
- kliknij przycisk Start, a następnie kliknij przycisk Panel sterowania. Możesz też wskazać pozycję Ustawienia, a następnie kliknąć Panel sterowania.
- kliknij dwukrotnie Narzędzia administracyjne.
- Kliknij dwukrotnie usługi.
- kliknij dwukrotnie Menedżer połączeń dostępu zdalnego
- na liście Typ uruchamiania kliknij wyłączony.
- kliknij Stop, a następnie kliknij OK.
Możesz również zatrzymać i wyłączyć usługę Menedżera połączeń zdalnego dostępu (RASMAN) za pomocą następującego polecenia w wierszu polecenia:
sc stop rasman & sc config rasman start= disabled
wpływ obejścia problemu: Jeśli wyłączysz usługę Menedżer połączeń dostępu zdalnego, nie możesz oferować usług routingu innym hostom w środowiskach lokalnych i rozległych sieci. Dlatego zalecamy To obejście tylko w systemach, które nie wymagają użycia RASMAN do zdalnego dostępu i routingu.
-
Zablokuj następujące elementy w firewallu:
- porty UDP 135, 137, 138 i 445 oraz porty TCP 135, 139, 445 i 593
- wszystkie niechciane połączenia przychodzące na portach większych niż 1024
- każdy inny specjalnie skonfigurowany port RPC
te porty są używane do inicjowania połączenia z RPC. Blokowanie ich w zaporze pomoże chronić systemy znajdujące się za tą zaporą przed próbami wykorzystania tej luki. Upewnij się również, że blokujesz dowolny inny specjalnie skonfigurowany port RPC w zdalnym systemie. Zalecamy zablokowanie wszelkiej niechcianej komunikacji przychodzącej z Internetu, aby zapobiec atakom, które mogą korzystać z innych portów. Aby uzyskać więcej informacji na temat portów używanych przez RPC, odwiedź następującą stronę internetową.
-
aby chronić się przed próbami wykorzystania tej luki w sieci, Użyj osobistej zapory sieciowej, takiej jak Zapora połączenia internetowego, która jest dołączona do systemu Windows XP i Windows Server 2003.
domyślnie funkcja zapory połączenia internetowego w systemie Windows XP i Windows Server 2003 pomaga chronić połączenie internetowe poprzez blokowanie niechcianego ruchu przychodzącego. Zalecamy zablokowanie wszelkiej niechcianej komunikacji przychodzącej z Internetu. W systemie Windows XP Service Pack 2 Ta funkcja nazywa się Zaporą systemu Windows.
aby włączyć funkcję zapory połączenia internetowego za pomocą Kreatora konfiguracji sieci, wykonaj następujące kroki:
- kliknij przycisk Start, a następnie kliknij przycisk Panel sterowania.
- w domyślnym widoku kategorii kliknij pozycję Sieć i Połączenia Internetowe, a następnie kliknij pozycję Konfiguracja lub zmiana sieci domowej lub małej sieci biurowej. Funkcja Zapora połączenia internetowego jest włączona po wybraniu konfiguracji w Kreatorze konfiguracji sieci, która wskazuje, że system jest połączony bezpośrednio z Internetem.
aby ręcznie skonfigurować zaporę połączenia internetowego dla połączenia, wykonaj następujące kroki:
- kliknij przycisk Start, a następnie kliknij przycisk Panel sterowania.
- w domyślnym widoku kategorii kliknij pozycję Sieć i Połączenia Internetowe, a następnie kliknij pozycję Połączenia sieciowe.
- kliknij prawym przyciskiem myszy połączenie, na którym chcesz włączyć zaporę połączenia internetowego, a następnie kliknij Właściwości.
- kliknij kartę Zaawansowane.
- Kliknij, aby wybrać Chroń mój komputer lub sieć, ograniczając lub uniemożliwiając dostęp do tego komputera z Internetu pole wyboru, a następnie kliknij OK.
Uwaga Jeśli chcesz włączyć niektóre programy i usługi do komunikacji za pośrednictwem zapory sieciowej, kliknij Ustawienia na karcie Zaawansowane, a następnie wybierz wymagane programy, protokoły i usługi.
-
klienci, którzy uważają, że zostali zaatakowani, powinni skontaktować się z lokalnym biurem FBI lub opublikować skargę na stronie internetowej centrum skarg na oszustwa internetowe. Klienci spoza USA powinni skontaktować się z krajowym organem ścigania w swoim kraju.
-
S. Kanada, która uważa, że mogła zostać dotknięta tą możliwą luką, może otrzymać pomoc techniczną od usług pomocy technicznej Microsoft pod adresem 1-866-PCSAFETY. Pomoc techniczna związana z problemami z aktualizacją zabezpieczeń lub wirusami jest bezpłatna.”Klienci międzynarodowi mogą otrzymać wsparcie za pomocą dowolnej z metod wymienionych w witrynie Security Help and Support for Home Users.
wszyscy klienci powinni stosować najnowsze aktualizacje zabezpieczeń wydane przez Microsoft, aby zapewnić ochronę ich systemów przed próbami ich eksploatacji. Klienci, którzy włączyli Aktualizacje automatyczne, automatycznie otrzymają wszystkie aktualizacje systemu Windows. Aby uzyskać więcej informacji na temat aktualizacji zabezpieczeń, odwiedź witrynę Microsoft Security Web. -
aby uzyskać więcej informacji na temat bezpieczeństwa w internecie, klienci mogą odwiedzić stronę główną theMicrosoft Security.
-
Aktualizuj System Windows
wszyscy użytkownicy systemu Windows powinni stosować najnowsze aktualizacje zabezpieczeń firmy Microsoft, aby upewnić się, że ich komputery są tak chronione, jak to możliwe. Jeśli nie masz pewności, czy oprogramowanie jest aktualne, odwiedź witrynę internetową Windows Update, przeskanuj komputer w poszukiwaniu dostępnych aktualizacji i zainstaluj oferowane aktualizacje o wysokim priorytecie. Jeśli masz włączone aktualizacje automatyczne, aktualizacje są dostarczane do ciebie po ich wydaniu, ale musisz się upewnić, że je zainstalowałeś.
inne informacje
zasoby:
- możesz przekazać swoją opinię, wypełniając formularz, odwiedzając poniższą stronę internetową.
- Klienci w USA Kanada może otrzymać pomoc techniczną od usług pomocy technicznej Microsoft Product Support Services. Aby uzyskać więcej informacji na temat dostępnych opcji pomocy technicznej, zobacz witrynę pomocy technicznej firmy Microsoft.
- klienci międzynarodowi mogą otrzymać wsparcie od swoich lokalnych oddziałów firmy Microsoft. Aby uzyskać więcej informacji o tym, jak skontaktować się z firmą Microsoft w sprawach związanych z międzynarodową pomocą techniczną, odwiedź witrynę międzynarodowej pomocy technicznej.
- strona internetowa Microsoft TechNet Security zawiera dodatkowe informacje na temat bezpieczeństwa produktów Microsoft.
:
informacje zawarte w niniejszym poradniku są dostarczane „tak jak są” BEZ JAKIEJKOLWIEK GWARANCJI. Microsoft zrzeka się wszelkich gwarancji, wyraźnych lub dorozumianych, w tym gwarancji PRZYDATNOŚCI HANDLOWEJ I PRZYDATNOŚCI DO OKREŚLONEGO CELU. Microsoft Corporation lub jej dostawcy w żadnym wypadku nie ponoszą odpowiedzialności za jakiekolwiek szkody, w tym bezpośrednie, pośrednie, przypadkowe, wtórne, utratę zysków biznesowych lub specjalne szkody, nawet jeśli Microsoft Corporation lub jej dostawcy zostali poinformowani o możliwości wystąpienia takich szkód. Niektóre stany nie zezwalają na wyłączenie lub ograniczenie odpowiedzialności za szkody wtórne lub przypadkowe, więc powyższe ograniczenie może nie mieć zastosowania.
zmiany:
- 23.06.2006