Сетевая утилита для тестирования уязвимостей MS08-065, MS08-067 и MS09-001

Сетевая утилита для тестирования уязвимостей MS08-065, MS08-067 и MS09-001

Компания Positive Technologies выпустила сетевую утилиту для проверки наличия исправлений, описанных в бюллетенях безопасности MS08-065, MS08-067 и MS09-001.

Введение

Выпущенные Microsoft обновления (MS08-065, MS08-067 и MS09-001) устраняют уязвимости в службах Server и Message Queuing, успешная эксплуатация которых может позволить злоумышленнику скомпрометировать целевую систему. Уязвимость MS08-067 активно эксплуатируется злоумышленниками в настоящее время. Самым известным червем для этой уязвимости является Conficker/Downadup в различных его реализациях.

Все три уязвимости представляют большую опасность для копаний и для отдельных пользователей в сетях, где отсутствуют механизмы Compliance Management и управления уязвимостей (такие как XSpider, MaxPatrol ).

Компания Positive Technologies выпустила сетевую утилиту для проверки наличия исправлений, описанных в бюллетенях безопасности MS08-065, MS08-067 и MS09-001. Утилита работает в режиме «pentest», что позволяет без наличия прав администратора идентифицировать узлы, «выпавшие» из процесса управления обновлениями безопасности.

01.png

С помощью этой утилиты системные администраторы смогут быстро и легко выявить уязвимые системы и установить соответствующие исправления. Для корректной работы утилиты на системе должен быть установлен .NET Framework.

Загрузить утилиту можно по следующему адресу:

http://www.ptsecurity.ru/freeware.asp

Внимание! Утилита работает в режиме тестирования на проникновение, в связи с чем, не имеет возможности обнаружить узлы, зараженные червем Conficker.B, поскольку червь устраняет уязвимость MS08-067. Для проверки зараженных систем необходимо использовать механизмы аудита системы MaxPatrol или XSpider.

Подробности уязвимостей

Подробности уязвимостей MS08-065 и MS08-067 доступны в нашей предыдущей статье .

MS09-001 или уязвимости при обработке SMB пакетов в MicrosoftWindows

Бюллетень MS09-001 устраняет три уязвимости в Microsoft Windows, которые позволяют злоумышленнику вызвать отказ в обслуживании системы или выполнить произвольный код.

Переполнение буфера при обработке WRITE_ANDX пакетов
Уязвимые системы: Microsoft Windows 2000, Microsoft Windows XP, Microsoft Windows Server 2003, Microsoft Windows Vista, Microsoft Windows Server 2008
Уязвимый компонент: Служба Server
Максимальное воздействие: Отказ в обслуживании
Наличие эксплоита в публичном доступе: Да
Идентификатор CVE: CVE-2008-4114
Вектор эксплуатации: Удаленный
Рейтинг опасности SecurityLab: Низкий
Дополнительные условия: Атакующему требуется доступ к нулевой сессии ("\LSARPC")

Краткое описание:

Уязвимость существует из-за ошибки проверки входных данных при обработке "WRITE_ANDX" пакетов в драйвере srv.sys. Удаленный пользователь может с помощью специально сформированного SMB пакета вызвать отказ в обслуживании. Для успешной эксплуатации уязвимости анонимным пользователем, требуется сетевой доступ к интерфейсу, позволяющему нулевые сессии ("\LSARPC"). Об уязвимости известно с 17 сентября 2008 года.

Способы противодействия:

  • Заблокировать доступ к портам 139/TCP и 445/TCP
  • Установить исправление с сайта производителя

 

Переполнение буфера при обработке SMB NT Trans запросов
Уязвимые системы: Microsoft Windows 2000, Microsoft Windows XP, Microsoft Windows Server 2003
Уязвимый компонент: Служба Server
Максимальное воздействие: Выполнение произвольного кода
Наличие эксплоита в публичном доступе: Нет
Идентификатор CVE: CVE-2008-4834
Вектор эксплуатации: Удаленный
Рейтинг опасности SecurityLab: Средний

Краткое описание:

Уязвимость существует из-за ошибки проверки границ данных при обработке SMB пакетов. Удаленный неаутентифицированный пользователь может с помощью специально сформированных значений в запросе NT Trans вызвать переполнение буфера и аварийно завершить работу системы и, теоретически, выполнить произвольный код.

Способы противодействия:

  • Заблокировать доступ к портам 139/TCP и 445/TCP
  • Установить исправление с сайта производителя

 

Переполнение буфера при обработке SMB NT Trans2 запросов
Уязвимые системы: Microsoft Windows 2000, Microsoft Windows XP, Microsoft Windows Server 2003, Microsoft Windows Vista, Microsoft Windows Server 2008
Уязвимый компонент: Служба Server
Максимальное воздействие: Выполнение произвольного кода
Наличие эксплоита в публичном доступе: Нет
Идентификатор CVE: CVE-2008-4835
Вектор эксплуатации: Удаленный
Рейтинг опасности SecurityLab: Средний

Краткое описание:

Уязвимость существует из-за еще одной ошибки проверки границ данных при обработке SMB пакетов. Удаленный неаутентифицированный пользователь может с помощью специально сформированных значений в запросе NT Trans2 вызвать переполнение буфера и аварийно завершить работу системы и, теоретически, выполнить произвольный код.

Способы противодействия:

  • Заблокировать доступ к портам 139/TCP и 445/TCP
  • Установить исправление с сайта производителя

Внимание! Блокирование доступа к портам 139/TCP и 445/TCP может повлиять на работу следующих компонентов:

  • Приложения, которые используют SMB (CIFS)
  • Приложения, которые используют почтовые слоты или именованные каналы (RPC поверх SMB)
  • Служба Server (доступ к файлам и принтерам)
  • Групповые политики
  • Net Logon
  • Distributed File System (DFS)
  • Terminal Server Licensing
  • Print Spooler
  • Computer Browser
  • Remote Procedure Call Locator
  • Fax Service
  • Indexing Service
  • Performance Logs and Alerts
  • Systems Management Server
  • License Logging Service

Для устранения уязвимости необходимо загрузить и установить следующие исправления:
Windows 2000 SP4:
http://www.microsoft.com/downloads/de...=E0678D14-C1B5-457A-8222-8E7682760ED4

Windows XP SP2/SP3:
http://www.microsoft.com/downloads/de...=EEAFCDC5-DF39-4B29-B6F1-7D32B64761E1

Windows XP Professional x64 Edition (optionally with SP2):
http://www.microsoft.com/downloads/de...=26898401-F669-4542-AD93-199ED1FE9A2A

Windows Server 2003 SP1/SP2:
http://www.microsoft.com/downloads/de...=588CA8E8-38A9-47ED-9C41-09AAF1022E49

Windows Server 2003 x64 Edition (optionally with SP2):
http://www.microsoft.com/downloads/de...=EE59441C-1E8F-4425-AE8D-DEC14E7F13FB

Windows Server 2003 with SP1/SP2 for Itanium-based Systems:
http://www.microsoft.com/downloads/de...=CAEC9321-FA5B-42F0-9F26-61F673FE6EEF

Windows Vista (optionally with SP1):
http://www.microsoft.com/downloads/de...=9179C463-C10A-452A-990F-B7E37CDD889B

Windows Vista x64 Edition (optionally with SP1):
http://www.microsoft.com/downloads/de...=6B26952E-B59D-4B0F-A52D-025E45ECD233

Windows Server 2008 for 32-bit Systems:
http://www.microsoft.com/downloads/de...=7245B411-7C9E-41E5-9841-4C586336086C

Windows Server 2008 for x64-based Systems:
http://www.microsoft.com/downloads/de...=A241EAAD-95A0-442B-978F-F21A6F0C7DB4

Windows Server 2008 for Itanium-based Systems:
http://www.microsoft.com/downloads/de...=AB7C7015-20BB-4A0C-977A-969F4E2A5189

Ссылки

 

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!