В этой статье сделан обзор уязвимостей MS08-065 и MS08-067 и предложен способ удаленной идентификации уязвимостей.
Обе эти уязвимости связаны с обработкой RPC запросов и представляют большую опасность для пользователей, которые не установили исправления. Уязвимость в службе Server в данный момент эксплуатируется червем Gimmiv.A. По данным SANS в данный момент существует два варианта распространения: посредством самого эксплоита и через P2P сеть (Emule).
В настоящий момент известны следующие образцы злонамеренного кода:
Вышеописанные уязвимости представляют большую опасность для компаний и для отдельных пользователей в сетях, где отсутствуют механизмы идентификации уязвимых хостов (таких как XSpider, MaxPatrol или MBSA).
Positive Technologies выпустила сетевую утилиту для идентификации уязвимостей, описанных в бюллетенях безопасности MS08-065 и MS08-067. Для проверки достаточно иметь доступ только к портам сервисов NetBIOS (445/tcp) и Message Queuing (2103/tcp).
На рисунке изображены результаты сканирования:
С помощью этой утилиты системные администраторы смогут быстро и легко выявить уязвимые системы и установить соответствующие исправления.
http://www.f-secure.com/weblog/archives/00001526.html
http://www.shadowserver.org/wiki/pmwiki.php?n=Calendar.20081030
http://blog.threatexpert.com/2008/10/gimmiva-exploits-zero-day-vulnerability.html
http://honeytrap.mwcollect.org/msexploit
http://isc.sans.org/diary.html?storyid=5288&rss
http://isc.sans.org/diary.html?storyid=5275&rss
http://www.securitylab.ru/analytics/361827.php
http://www.securitylab.ru/vulnerability/361179.php
http://www.securitylab.ru/vulnerability/361770.php
http://www.microsoft.com/technet/security/bulletin/MS08-065.mspx
http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx
http://blogs.msdn.com/sdl/archive/2008/10/22/ms08-067.aspx
Ниже приведены подробности о проверяемых уязвимостях.
Уязвимые системы: | Microsoft Windows 2000 |
Уязвимый компонент: | служба Message Queuing (MSMQ) |
Максимальное воздействие: | Выполнение произвольного кода с привилегиями учетной записи SYSTEM |
Наличие эксплоита в публичном доступе: | Нет |
Идентификатор CVE: | CVE-2008-3479 |
Вектор эксплуатации: | удаленный |
Дополнительные условия: | служба по умолчанию отключена |
Рейтинг опасности SecurityLab: | средний |
Краткое описание уязвимости
Уязвимость существует из-за переполнения динамической памяти в службе Message Queing Service (mqsvc.exe) при обработке RPC запросов. Удаленный неавторизованный пользователь может отправить уязвимой системе специально сформированный RPC запрос и выполнить произвольный код на целевой системе с привилегиями учетной записи SYSTEM. Для выполнения кода злоумышленнику придется произвести тайминг атаку.
Способы противодействия
Заблокировать входной трафик:
Отключить уязвимую службу: sc stop MSMQ & sc config MSMQ start= disabled
Установить исправление: http://www.microsoft.com/downloads/details.aspx?familyid=899e2728-2433-4ccb-a195-05b5d65e5469&displaylang=en
Уязвимые системы: | Microsoft Windows 2000, Microsoft Windows XP, Microsoft Windows Server 2003, Microsoft Windows Vista, Microsoft Windows Server 2008 |
Уязвимый компонент: | служба Server |
Максимальное воздействие: | Выполнение произвольного кода с привилегиями учетной записи SYSTEM |
Наличие эксплоита в публичном доступе: | Да. Уязвимость активно эксплуатируется червем Gimmiv.A. |
Идентификатор CVE: | CVE-2008-4250 |
Вектор эксплуатации: | удаленный |
Дополнительные условия: | служба по умолчанию отключена |
Рейтинг опасности SecurityLab: | критический |
Краткое описание уязвимости
Уязвимость существует из-за переполнения буфера в службе Server при обработке RPC запросов. Удаленный пользователь может с помощью специально сформированного RPC запроса вызвать переполнение стека и выполнить произвольный код на целевой системе. Для удачной эксплуатации уязвимости на Windows Vista и Windows Server 2008 атакующий должен успешно аутентифицироваться на системе.
Способы противодействия
Способы противодействия описаны в статье Подробности уязвимости MS08-067.
В Матрице безопасности выбор очевиден