Microsoft Security Advisory 921923

  • 10/11/2017
  • 8 minuter att läsa
    • B

säkerhetsrådgivning

Proof of Concept kod publicerad som påverkar tjänsten Remote Access Connection Manager

publicerad: 23 juni 2006

Microsoft är medveten om att detaljerad exploateringskod har publicerats på internet för den sårbarhet som åtgärdas av Microsofts säkerhetsbulletin MS06-025. Microsoft är för närvarande inte medveten om aktiva attacker som använder denna exploateringskod eller om kundens inverkan just nu. Microsoft övervakar dock aktivt denna situation för att hålla kunderna informerade och ge kundvägledning vid behov.
vår undersökning av denna exploateringskod har verifierat att det inte påverkar kunder som har installerat uppdateringarna i MS06-025 på sina datorer. Microsoft fortsätter att rekommendera att kunder tillämpar uppdateringarna på de berörda produkterna genom att aktivera funktionen Automatiska uppdateringar i Windows.
Microsoft är besviken över att vissa säkerhetsforskare har brutit mot den allmänt accepterade branschpraxis att undanhålla sårbarhetsdata så nära uppdatering release och har publicerat utnyttja kod, potentiellt skada datoranvändare. Vi fortsätter att uppmana säkerhetsforskare att avslöja sårbarhetsinformation på ett ansvarsfullt sätt och ge kunderna tid att distribuera uppdateringar så att de inte hjälper brottslingar i deras försök att dra nytta av mjukvarusårbarheter

Mitigating Factors:

  • kunder som har installerat säkerhetsuppdateringen MS06 – 025 påverkas inte av denna sårbarhet.
  • Windows 2000-system är främst utsatta för denna sårbarhet. Kunder som kör Windows 2000 bör distribuera MS06-025 så snart som möjligt eller inaktivera RASMAN-tjänsten.
  • på Windows XP Service Pack 2, Windows Server 2003 och Windows Server 2003 Service Pack 1 måste angriparen ha giltiga inloggningsuppgifter för att kunna utnyttja sårbarheten.
  • det här problemet påverkar inte Windows 98, Windows 98 SE eller Windows Millennium Edition.

allmän Information

översikt

syftet med rådgivningen: meddelande om tillgängligheten av en säkerhetsuppdatering för att skydda mot detta potentiella hot.

rådgivande Status: eftersom problemet redan har åtgärdats som en del av säkerhetsbulletinen MS06-025 krävs ingen ytterligare uppdatering.

rekommendation: installera MS06 – 025 säkerhetsuppdatering för att skydda mot denna sårbarhet.

Identification
CVE Reference CVE-2006-2370
CVE-2006-2371
Security Bulletin MS06-025

This advisory discusses the following software.

Microsoft Windows 2000 Service Pack 4

Microsoft Windows XP Service Pack 1 och Microsoft Windows XP Service Pack 2

Microsoft Windows XP Professional x64 Edition

Microsoft Windows Server 2003 och Microsoft Windows Server 2003 Service Pack 1

Microsoft Windows Server 2003 för Itanium-baserade system och Microsoft Windows Server 2003 med SP1 för Itanium-baserade system

Microsoft Windows Server 2003 x64 Edition

Vanliga frågor

vad är omfattningen av rådgivningen?
Microsoft är medveten om offentlig utstationering av exploit code targeting sårbarheter som identifierats i Microsofts säkerhetsuppdatering MS06-025. Detta påverkar programvaran som listas i avsnittet ”Översikt”

är detta ett säkerhetsproblem som kräver att Microsoft utfärdar en säkerhetsuppdatering?
Nej. Kunder som har installerat säkerhetsuppdateringen MS06-025 påverkas inte av denna sårbarhet. Ingen ytterligare uppdatering krävs.

vad orsakar detta hot?
en okontrollerad buffert i Routing-och Fjärråtkomstteknik som specifikt påverkar tjänsten Remote Access Connection Manager (RASMAN)

vad gör funktionen?
Remote Access Connection Manager är en tjänst som hanterar detaljerna för att upprätta anslutningen till fjärrservern. Denna tjänst ger också klienten statusinformation under anslutningsoperationen. Remote Access Connection Manager startar automatiskt när ETT program laddar RASAPI32.DLL

vad kan en angripare använda den här funktionen för att göra?
en angripare som framgångsrikt utnyttjade denna sårbarhet kan ta fullständig kontroll över det drabbade systemet.

finns det några kända problem med att installera Microsoft Security Update MS06-025 som skyddar mot detta hot?
Microsoft Knowledge Base artikel 911280dokumenterar de för närvarande kända problem som kunder kan uppleva när de installerar säkerhetsuppdateringen. Endast kunder som använder uppringda anslutningar som använder skript som konfigurerar sin enhet för paritet, stoppbitar eller databitar eller ett terminalfönster efter anslutning eller uppringd skript påverkas av problemen som identifieras i KB-artikeln. Om kunder inte använder någon av de identifierade uppringningsscenarierna uppmanas de att installera uppdateringen omedelbart..

föreslagna åtgärder

om du har installerat uppdateringen som släpptes med säkerhetsbulletinen MS06-025 är du redan skyddad från attacken som identifieras i den offentligt publicerade proof of concept-koden. Om du inte har installerat uppdateringen eller påverkas av något av de scenarier som identifieras i Microsoft Knowledge Base artikel 911280 kunder finns i uppmuntra att inaktivera tjänsten Remote Access Connection Manager.

  • inaktivera tjänsten Remote Access Connection Manager

    inaktivera tjänsten Remote Access Connection Manager hjälper till att skydda det drabbade systemet från försök att utnyttja denna sårbarhet. Om du vill inaktivera tjänsten Remote Access Connection Manager (RASMAN) följer du dessa steg:

    1. Klicka på Start och sedan på Kontrollpanelen. Alternativt pekar du på Inställningar och klickar sedan på Kontrollpanelen.
    2. dubbelklicka på Administrativa verktyg.
    3. dubbelklicka på tjänster.
    4. dubbelklicka på Remote Access Connection Manager
    5. i listan Starttyp klickar du på Disabled.
    6. Klicka på Stopp och klicka sedan på OK.

    Du kan också stoppa och inaktivera rasman-tjänsten (Remote Access Connection Manager) genom att använda följande kommando vid kommandotolken:

    sc stop rasman & sc config rasman start= disabled

    inverkan av lösningen: Om du inaktiverar tjänsten Remote Access Connection Manager kan du inte erbjuda routingtjänster till andra värdar i lokala och breda nätverksmiljöer. Därför rekommenderar vi denna lösning endast på system som inte kräver användning av RASMAN för fjärråtkomst och routing.

  • blockera följande vid brandväggen:

    • UDP-portar 135, 137, 138 och 445 och TCP-portar 135, 139, 445 och 593
    • all oönskad inkommande trafik på portar som är större än 1024
    • alla andra specifikt konfigurerade RPC-portar

    dessa portar Används för att initiera en anslutning till RPC. Att blockera dem vid brandväggen hjälper till att skydda system som ligger bakom brandväggen från försök att utnyttja denna sårbarhet. Se också till att du blockerar någon annan specifikt konfigurerad RPC-port på fjärrsystemet. Vi rekommenderar att du blockerar all oönskad inkommande kommunikation från Internet för att förhindra attacker som kan använda andra portar. Mer information om portar som RPC använder finns på följande webbplats.

  • för att skydda mot nätverksbaserade försök att utnyttja denna sårbarhet, använd en personlig brandvägg, till exempel Internet Connection Firewall, som ingår i Windows XP och Windows Server 2003.

    som standard skyddar funktionen Internet Connection Firewall i Windows XP och Windows Server 2003 din internetanslutning genom att blockera oönskad inkommande trafik. Vi rekommenderar att du blockerar all oönskad inkommande kommunikation från Internet. I Windows XP Service Pack 2 kallas dessa funktioner Windows-brandväggen.

    om du vill aktivera brandväggsfunktionen för Internet-anslutning med hjälp av guiden Nätverksinstallation följer du dessa steg:

    1. Klicka på Start och sedan på Kontrollpanelen.
    2. i Standardkategorivyn klickar du på Nätverks-och Internetanslutningar och sedan på Konfigurera eller ändra ditt hem-eller småkontorsnätverk. Funktionen Internet Connection Firewall aktiveras när du väljer en konfiguration i guiden Network Setup som anger att ditt system är anslutet direkt till Internet.

    för att konfigurera brandväggen för Internet-anslutning manuellt för en anslutning, följ dessa steg:

    1. Klicka på Start och klicka sedan på Kontrollpanelen.
    2. i Standardkategorivyn klickar du på Nätverks-och Internetanslutningar och sedan på Nätverksanslutningar.
    3. högerklicka på den anslutning som du vill aktivera brandväggen för Internetanslutning på och klicka sedan på Egenskaper.
    4. Klicka på fliken Avancerat.
    5. markera kryssrutan skydda den här datorn eller nätverket genom att begränsa eller förhindra åtkomst till den här datorn från Internet och klicka sedan på OK.

    Obs! Om du vill aktivera vissa program och tjänster för att kommunicera via brandväggen klickar du på Inställningar på fliken Avancerat och väljer sedan de program, protokoll och tjänster som krävs.

  • kunder som tror att de har attackerats bör kontakta sitt lokala FBI-kontor eller lägga upp sitt klagomål på webbplatsen för bedrägeribekämpning på Internet. Kunder utanför USA bör kontakta den nationella brottsbekämpande myndigheten i deras land.

  • kunder i theU.S. och Kanada som tror att de kan ha påverkats av denna möjliga sårbarhet kan få teknisk support från Microsoft Product Support Services på 1-866-PCSAFETY. Det finns ingen avgift för support som är associerad med säkerhetsuppdateringsproblem eller virus.”Internationella kunder kan få stöd genom att använda någon av de metoder som anges på Security Help och Support för hemanvändare webbplats.
    alla kunder bör tillämpa de senaste säkerhetsuppdateringarna som släppts av Microsoft för att säkerställa att deras system skyddas från försök till exploatering. Kunder som har aktiverat automatiska uppdateringar får automatiskt alla Windows-uppdateringar. Mer information om säkerhetsuppdateringar finns på webbplatsen Microsoft Security.

  • För mer information om att vara säker på Internet kan kunderna besöka Microsoft Security hemsida.

  • håll Windows Uppdaterat

    alla Windows-användare bör tillämpa de senaste Microsoft – säkerhetsuppdateringarna för att se till att deras datorer är så skyddade som möjligt. Om du inte är säker på om programvaran är uppdaterad kan du besöka webbplatsen Windows Update, söka igenom datorn efter tillgängliga uppdateringar och installera alla högprioriterade uppdateringar som erbjuds dig. Om du har automatiska uppdateringar aktiverade levereras uppdateringarna till dig när de släpps, men du måste se till att du installerar dem.

Övrig Information

resurser:

  • Du kan ge feedback genom att fylla i formuläret genom att besöka följande webbplats.
  • kunder i USA. och Kanada kan få teknisk support från Microsoft Product Support Services. Mer information om tillgängliga supportalternativ finns på Microsofts hjälp-och supportwebbplats.
  • internationella kunder kan få support från sina lokala Microsoft-dotterbolag. Mer information om hur du kontaktar Microsoft för problem med internationell support finns på webbplatsen för internationell Support.
  • på webbplatsen Microsoft TechNet Security finns ytterligare information om Säkerhet i Microsoft-produkter.

ansvarsfriskrivning:

informationen i denna rådgivning tillhandahålls ”i befintligt skick” utan garanti av något slag. Microsoft frånsäger sig alla garantier, antingen uttryckliga eller underförstådda, inklusive garantier för säljbarhet och lämplighet för ett visst ändamål. Under inga omständigheter ska Microsoft Corporation eller dess leverantörer vara ansvariga för eventuella skador, inklusive direkta, indirekta, tillfälliga, följdskador, förlust av affärsvinster eller särskilda skador, även om Microsoft Corporation eller dess leverantörer har informerats om risken för sådana skador. Vissa stater tillåter inte uteslutning eller begränsning av ansvar för följdskador eller tillfälliga skador, så Ovanstående begränsning kanske inte gäller.

revideringar:

  • 23 juni 2006 rådgivande publicerad



Lämna ett svar

Din e-postadress kommer inte publiceras.