mai 15, 2021

Microsoft Security Advisory 921923

  • 10/11/2017
  • 8 minute pentru a citi
    • B

Security Advisory

dovada Cod concept publicat care afectează serviciul Remote Access Connection Manager

publicat: 23 iunie 2006

Microsoft este conștient de faptul că codul exploit detaliat a fost publicat pe internet pentru vulnerabilitatea care este abordată de Microsoft Security Bulletin MS06-025. În prezent, Microsoft nu este la curent cu atacurile active care utilizează acest cod de exploatare sau cu impactul asupra clienților în acest moment. Cu toate acestea, Microsoft monitorizează activ această situație pentru a menține clienții informați și pentru a oferi îndrumări clienților, după cum este necesar.
investigația noastră asupra acestui cod de exploatare a verificat că nu afectează clienții care au instalat actualizările detaliate în MS06-025 pe computerele lor. Microsoft continuă să recomande clienților să aplice actualizările produselor afectate, activând funcția Actualizări automate în Windows.Microsoft este dezamăgit de faptul că anumiți cercetători în domeniul securității au încălcat practica industriei general acceptată de a reține datele de vulnerabilitate atât de aproape de lansarea actualizării și au publicat codul de exploatare, care ar putea dăuna utilizatorilor de computere. Continuăm să îndemnăm cercetătorii în domeniul securității să dezvăluie informațiile despre vulnerabilități în mod responsabil și să le permită clienților timp să implementeze actualizări, astfel încât să nu ajute infractorii în încercarea lor de a profita de vulnerabilitățile software

factori atenuanți:

  • clienții care au instalat actualizarea de securitate MS06-025 nu sunt afectați de această vulnerabilitate.
  • sistemele Windows 2000 sunt în primul rând expuse riscului de această vulnerabilitate. Clienții care rulează Windows 2000 ar trebui să implementeze MS06-025 cât mai curând posibil sau să dezactiveze serviciul RASMAN.
  • Pe Windows XP Service Pack 2, Windows Server 2003 și Windows Server 2003 Service Pack 1 atacatorul ar trebui să aibă acreditări de conectare valide pentru a exploata vulnerabilitatea.
  • această problemă nu afectează Windows 98, Windows 98 SE sau Windows Millennium Edition.

Informații generale

Prezentare generală

scopul consultanței: Notificarea disponibilității unei actualizări de securitate pentru a ajuta la protejarea împotriva acestei potențiale amenințări.

starea consultativă: deoarece această problemă este deja abordată ca parte a buletinului de securitate MS06-025, nu este necesară nicio actualizare suplimentară.

recomandare: instalați MS06 – 025 actualizare de securitate pentru a ajuta la protejarea împotriva acestei vulnerabilități.

Identification
CVE Reference CVE-2006-2370
CVE-2006-2371
Security Bulletin MS06-025

This advisory discusses the following software.

Microsoft Windows 2000 Service Pack 4

Microsoft Windows XP Service Pack 1 și Microsoft Windows XP Service Pack 2

Microsoft Windows XP Professional x64 Edition

Microsoft Windows Server 2003 și Microsoft Windows Server 2003 Service Pack 1

Microsoft Windows Server 2003 pentru sistemele bazate pe Itanium și Microsoft Windows Server 2003 cu SP1 pentru sistemele bazate pe Itanium

Microsoft Windows Server 2003 x64 Edition

Întrebări frecvente

care este domeniul de aplicare al consultanței?
Microsoft este conștient de postarea publică a vulnerabilităților care vizează codul de exploatare identificate în actualizarea de securitate Microsoft MS06-025. Acest lucru afectează software-ul care este listat în secțiunea „Prezentare generală”

este aceasta o vulnerabilitate de securitate care necesită Microsoft să emită o actualizare de securitate?
Nu. Clienții care au instalat actualizarea de securitate MS06-025 nu sunt afectați de această vulnerabilitate. Nu este necesară nicio actualizare suplimentară.

ce cauzează această amenințare?
un tampon necontrolat în tehnologiile de rutare și acces la distanță care afectează în mod specific serviciul de gestionare a conexiunilor de acces la distanță (RASMAN)

ce face caracteristica?
Remote Access Connection Manager este un serviciu care gestionează detaliile stabilirii conexiunii la serverul de la distanță. Acest serviciu oferă, de asemenea, clientului informații despre Stare în timpul operației de conectare. Remote Access Connection Manager pornește automat când o aplicație încarcă RASAPI32.DLL

ce ar putea folosi un atacator această funcție pentru a face?
un atacator care a exploatat cu succes această vulnerabilitate ar putea prelua controlul complet al sistemului afectat.

există probleme cunoscute cu instalarea Microsoft Security Update MS06-025 care protejează împotriva acestei amenințări?
Microsoft Knowledge Base articolul 911280documentează problemele cunoscute în prezent pe care clienții le pot întâmpina atunci când instalează actualizarea de securitate. Numai clienții care utilizează conexiuni dial-up care utilizează scripturi care își configurează dispozitivul pentru paritate, biți de oprire sau biți de date sau o fereastră de terminal post-conectare sau scriptare dial-up sunt afectați de problemele identificate în articolul KB. Dacă clienții nu utilizează niciunul dintre scenariile dial-up identificate, aceștia sunt încurajați să instaleze actualizarea imediat..

acțiuni sugerate

Dacă ați instalat actualizarea lansată cu buletinul de securitate MS06-025, sunteți deja protejat de atacul identificat în codul proof of concept postat public. Dacă nu ați instalat actualizarea sau sunt afectate de oricare dintre scenariile identificate în Microsoft Knowledge Base articolul 911280 clienții sunt încurajați să dezactivați serviciul Remote Access Connection Manager.

  • dezactivați serviciul Remote Access Connection Manager

    dezactivarea serviciului Remote Access Connection Manager va ajuta la protejarea sistemului afectat de încercările de a exploata această vulnerabilitate. Pentru a dezactiva serviciul Remote Access Connection Manager (RASMAN), urmați acești pași:

    1. Faceți clic pe Start, apoi faceți clic pe Panou de Control. Alternativ, indicați spre Setări, apoi faceți clic pe Panou de Control.
    2. faceți dublu clic pe Instrumente Administrative.
    3. faceți dublu clic pe servicii.
    4. faceți dublu clic pe Remote Access Connection Manager
    5. în lista Startup type, faceți clic pe Disabled.
    6. Faceți clic pe Stop, apoi faceți clic pe OK.

    de asemenea, puteți opri și dezactiva serviciul Remote Access Connection Manager (RASMAN) utilizând următoarea comandă la promptul de comandă:

    sc stop rasman & sc config rasman start= disabled

    impactul soluției: Dacă dezactivați serviciul Remote Access Connection Manager, nu puteți oferi servicii de rutare altor gazde în medii de rețea locală și de rețea extinsă. Prin urmare, recomandăm această soluție numai pentru sistemele care nu necesită utilizarea RASMAN pentru acces la distanță și rutare.

  • blocați următoarele la firewall:

    • porturile UDP 135, 137, 138 și 445 și porturile TCP 135, 139, 445 și 593
    • toate traficul de intrare nesolicitat pe Porturi mai mari de 1024
    • orice alt port RPC configurat special

    aceste porturi sunt utilizate pentru a iniția o conexiune cu RPC. Blocarea acestora la firewall va ajuta la protejarea sistemelor care se află în spatele acelui firewall de încercările de a exploata această vulnerabilitate. De asemenea, asigurați-vă că blocați orice alt port RPC configurat special pe sistemul de la distanță. Vă recomandăm să blocați toate comunicațiile de intrare nesolicitate de pe Internet pentru a preveni atacurile care pot utiliza alte porturi. Pentru mai multe informații despre porturile pe care RPC le utilizează, vizitați următorul site web.

  • pentru a vă proteja de încercările bazate pe rețea de a exploata această vulnerabilitate, utilizați un firewall personal, cum ar fi Firewall-ul pentru conexiune la Internet, care este inclus în Windows XP și Windows Server 2003.

    în mod implicit, caracteristica Firewall conexiune la Internet în Windows XP și în Windows Server 2003 ajută la protejarea conexiunii la Internet prin blocarea traficului de intrare nesolicitate. Vă recomandăm să blocați toate comunicările primite nesolicitate de pe Internet. În Windows XP Service Pack 2 Această caracteristică se numește Paravanul de protecție Windows.

    pentru a activa caracteristica Firewall conexiune Internet utilizând Expertul de configurare rețea, urmați acești pași:

    1. Faceți clic pe Start, apoi faceți clic pe Panou de Control.
    2. în vizualizarea Categorie implicită, faceți clic pe conexiuni de rețea și Internet, apoi faceți clic pe Configurare sau pe Modificare rețea de domiciliu sau de birou mic. Caracteristica Firewall conexiune Internet este activată atunci când selectați o configurație în Expertul de configurare rețea care indică faptul că sistemul dvs. este conectat direct la Internet.

    pentru a configura manual Firewall-ul conexiunii la Internet pentru o conexiune, urmați acești pași:

    1. Faceți clic pe Start, apoi faceți clic pe Panou de Control.
    2. în vizualizarea Categorie implicită, faceți clic pe conexiuni de rețea și Internet, apoi faceți clic pe conexiuni de rețea.
    3. faceți clic cu butonul din dreapta pe conexiunea pe care doriți să activați Firewall-ul conexiunii la Internet, apoi faceți clic pe Proprietăți.
    4. Faceți clic pe fila Avansat.
    5. Faceți clic pentru a bifa caseta de selectare protejați-mi computerul sau rețeaua limitând sau împiedicând accesul la acest computer din Internet, apoi faceți clic pe OK.

    Notă Dacă doriți să activați anumite programe și servicii pentru a comunica prin firewall, faceți clic pe Setări în fila Complex, apoi selectați programele, protocoalele și serviciile necesare.

  • clienții care cred că au fost atacați ar trebui să contacteze biroul FBI local sau să-și posteze reclamația pe site-ul web al Centrului de reclamații pentru fraude pe internet. Clienții din afara SUA ar trebui să contacteze Agenția Națională de aplicare a legii din țara lor.

  • clienții din ua.S. iar Canada, care cred că ar fi putut fi afectată de această posibilă vulnerabilitate, poate primi asistență tehnică de la serviciile de asistență pentru produse Microsoft la 1-866-PCSAFETY. Nu există nicio taxă pentru asistența asociată cu probleme de actualizare de securitate sau viruși.”Clienții internaționali pot primi sprijin prin utilizarea oricăreia dintre metodele care sunt enumerate la ajutor de securitate și de sprijin pentru utilizatorii de acasă site-ul web.
    toți clienții ar trebui să aplice cele mai recente actualizări de securitate lansate de Microsoft pentru a se asigura că sistemele lor sunt protejate împotriva încercării de exploatare. Clienții care au activat actualizările automate vor primi automat toate actualizările Windows. Pentru mai multe informații despre actualizările de securitate, vizitați site-ul Web Microsoft Security.

  • pentru mai multe informații despre starea în siguranță pe Internet, clienții pot vizitapagina de pornire Microsoft Security.

  • păstrați Windows actualizat

    toți utilizatorii Windows ar trebui să aplice cele mai recente actualizări de securitate Microsoft pentru a vă asigura că computerele lor sunt cât mai protejate posibil. Dacă nu sunteți sigur dacă software-ul dvs. este actualizat, vizitați site-ul Web Windows Update, scanați computerul pentru actualizări disponibile și instalați orice actualizări cu prioritate ridicată care vă sunt oferite. Dacă aveți actualizări automate activate, actualizările vă sunt livrate atunci când sunt lansate, dar trebuie să vă asigurați că le instalați.

alte informații

resurse:

  • puteți oferi feedback completând formularul vizitând următorul site web.
  • clienții din SUA. și Canada poate primi asistență tehnică de la serviciile de asistență pentru produse Microsoft. Pentru mai multe informații despre opțiunile de asistență disponibile, consultați site-ul web ajutor și asistență Microsoft.
  • clienții internaționali pot primi asistență de la filialele Microsoft locale. Pentru mai multe informații despre cum să contactați Microsoft pentru probleme de asistență internațională, vizitați site-ul web Asistență Internațională.
  • site-ul Web Microsoft TechNet Security oferă informații suplimentare despre securitatea produselor Microsoft.

Disclaimer:

informațiile furnizate în acest aviz sunt furnizate „CA ATARE”, fără nici un fel de garanție. Microsoft declină toate garanțiile, exprese sau implicite, inclusiv garanțiile de vandabilitate și adecvare pentru un anumit scop. În nici un caz Microsoft Corporation sau furnizorii săi nu vor fi răspunzători pentru niciun fel de daune, inclusiv directe, indirecte, accidentale, pe cale de consecință, pierderi de profituri comerciale sau daune speciale, chiar dacă Microsoft Corporation sau furnizorii săi au fost informați cu privire la posibilitatea unor astfel de daune. Unele state nu permit excluderea sau limitarea răspunderii pentru daune indirecte sau accidentale, astfel încât este posibil ca limitarea de mai sus să nu se aplice.

revizii:

  • 23 iunie 2006 consultativ publicat

Author:
Filed Under: Articles

Lasă un răspuns

Adresa ta de email nu va fi publicată.