Сетевая утилита для тестирования уязвимостей MS08-065, MS08-067 и MS09-001
Компания Positive Technologies выпустила сетевую утилиту для проверки наличия исправлений, описанных в бюллетенях безопасности MS08-065, MS08-067 и MS09-001.
Введение
Выпущенные Microsoft обновления (MS08-065, MS08-067 и MS09-001) устраняют уязвимости в службах Server и Message Queuing, успешная эксплуатация которых может позволить злоумышленнику скомпрометировать целевую систему. Уязвимость MS08-067 активно эксплуатируется злоумышленниками в настоящее время. Самым известным червем для этой уязвимости является Conficker/Downadup в различных его реализациях.
Все три уязвимости представляют большую опасность для копаний и для отдельных пользователей в сетях, где отсутствуют механизмы Compliance Management и управления уязвимостей (такие как XSpider, MaxPatrol ).
Компания Positive Technologies выпустила сетевую утилиту для проверки наличия исправлений, описанных в бюллетенях безопасности MS08-065, MS08-067 и MS09-001. Утилита работает в режиме «pentest», что позволяет без наличия прав администратора идентифицировать узлы, «выпавшие» из процесса управления обновлениями безопасности.
С помощью этой утилиты системные администраторы смогут быстро и легко выявить уязвимые системы и установить соответствующие исправления. Для корректной работы утилиты на системе должен быть установлен .NET Framework.
Загрузить утилиту можно по следующему адресу:
http://www.ptsecurity.ru/freeware.asp
Внимание! Утилита работает в режиме тестирования на проникновение, в связи с чем, не имеет возможности обнаружить узлы, зараженные червем Conficker.B, поскольку червь устраняет уязвимость MS08-067. Для проверки зараженных систем необходимо использовать механизмы аудита системы MaxPatrol или XSpider.
Подробности уязвимостей
Подробности уязвимостей MS08-065 и MS08-067 доступны в нашей предыдущей статье .
MS09-001 или уязвимости при обработке SMB пакетов в MicrosoftWindows
Бюллетень MS09-001 устраняет три уязвимости в Microsoft Windows, которые позволяют злоумышленнику вызвать отказ в обслуживании системы или выполнить произвольный код.
| Переполнение буфера при обработке WRITE_ANDX пакетов | |
| Уязвимые системы: | Microsoft Windows 2000, Microsoft Windows XP, Microsoft Windows Server 2003, Microsoft Windows Vista, Microsoft Windows Server 2008 |
| Уязвимый компонент: | Служба Server |
| Максимальное воздействие: | Отказ в обслуживании |
| Наличие эксплоита в публичном доступе: | Да |
| Идентификатор CVE: | CVE-2008-4114 |
| Вектор эксплуатации: | Удаленный |
| Рейтинг опасности SecurityLab: | Низкий |
| Дополнительные условия: | Атакующему требуется доступ к нулевой сессии ("\LSARPC") |
Краткое описание:
Уязвимость существует из-за ошибки проверки входных данных при обработке "WRITE_ANDX" пакетов в драйвере srv.sys. Удаленный пользователь может с помощью специально сформированного SMB пакета вызвать отказ в обслуживании. Для успешной эксплуатации уязвимости анонимным пользователем, требуется сетевой доступ к интерфейсу, позволяющему нулевые сессии ("\LSARPC"). Об уязвимости известно с 17 сентября 2008 года.
Способы противодействия:
- Заблокировать доступ к портам 139/TCP и 445/TCP
- Установить исправление с сайта производителя
| Переполнение буфера при обработке SMB NT Trans запросов | |
| Уязвимые системы: | Microsoft Windows 2000, Microsoft Windows XP, Microsoft Windows Server 2003 |
| Уязвимый компонент: | Служба Server |
| Максимальное воздействие: | Выполнение произвольного кода |
| Наличие эксплоита в публичном доступе: | Нет |
| Идентификатор CVE: | CVE-2008-4834 |
| Вектор эксплуатации: | Удаленный |
| Рейтинг опасности SecurityLab: | Средний |
Краткое описание:
Уязвимость существует из-за ошибки проверки границ данных при обработке SMB пакетов. Удаленный неаутентифицированный пользователь может с помощью специально сформированных значений в запросе NT Trans вызвать переполнение буфера и аварийно завершить работу системы и, теоретически, выполнить произвольный код.
Способы противодействия:
- Заблокировать доступ к портам 139/TCP и 445/TCP
- Установить исправление с сайта производителя
| Переполнение буфера при обработке SMB NT Trans2 запросов | |
| Уязвимые системы: | Microsoft Windows 2000, Microsoft Windows XP, Microsoft Windows Server 2003, Microsoft Windows Vista, Microsoft Windows Server 2008 |
| Уязвимый компонент: | Служба Server |
| Максимальное воздействие: | Выполнение произвольного кода |
| Наличие эксплоита в публичном доступе: | Нет |
| Идентификатор CVE: | CVE-2008-4835 |
| Вектор эксплуатации: | Удаленный |
| Рейтинг опасности SecurityLab: | Средний |
Краткое описание:
Уязвимость существует из-за еще одной ошибки проверки границ данных при обработке SMB пакетов. Удаленный неаутентифицированный пользователь может с помощью специально сформированных значений в запросе NT Trans2 вызвать переполнение буфера и аварийно завершить работу системы и, теоретически, выполнить произвольный код.
Способы противодействия:
- Заблокировать доступ к портам 139/TCP и 445/TCP
- Установить исправление с сайта производителя
Внимание! Блокирование доступа к портам 139/TCP и 445/TCP может повлиять на работу следующих компонентов:
- Приложения, которые используют SMB (CIFS)
- Приложения, которые используют почтовые слоты или именованные каналы (RPC поверх SMB)
- Служба Server (доступ к файлам и принтерам)
- Групповые политики
- Net Logon
- Distributed File System (DFS)
- Terminal Server Licensing
- Print Spooler
- Computer Browser
- Remote Procedure Call Locator
- Fax Service
- Indexing Service
- Performance Logs and Alerts
- Systems Management Server
- License Logging Service
Для устранения уязвимости необходимо загрузить и установить следующие исправления:
Windows 2000 SP4:
http://www.microsoft.com/downloads/de...=E0678D14-C1B5-457A-8222-8E7682760ED4
Windows XP SP2/SP3:
http://www.microsoft.com/downloads/de...=EEAFCDC5-DF39-4B29-B6F1-7D32B64761E1
Windows XP Professional x64 Edition (optionally with SP2):
http://www.microsoft.com/downloads/de...=26898401-F669-4542-AD93-199ED1FE9A2A
Windows Server 2003 SP1/SP2:
http://www.microsoft.com/downloads/de...=588CA8E8-38A9-47ED-9C41-09AAF1022E49
Windows Server 2003 x64 Edition (optionally with SP2):
http://www.microsoft.com/downloads/de...=EE59441C-1E8F-4425-AE8D-DEC14E7F13FB
Windows Server 2003 with SP1/SP2 for Itanium-based Systems:
http://www.microsoft.com/downloads/de...=CAEC9321-FA5B-42F0-9F26-61F673FE6EEF
Windows Vista (optionally with SP1):
http://www.microsoft.com/downloads/de...=9179C463-C10A-452A-990F-B7E37CDD889B
Windows Vista x64 Edition (optionally with SP1):
http://www.microsoft.com/downloads/de...=6B26952E-B59D-4B0F-A52D-025E45ECD233
Windows Server 2008 for 32-bit Systems:
http://www.microsoft.com/downloads/de...=7245B411-7C9E-41E5-9841-4C586336086C
Windows Server 2008 for x64-based Systems:
http://www.microsoft.com/downloads/de...=A241EAAD-95A0-442B-978F-F21A6F0C7DB4
Windows Server 2008 for Itanium-based Systems:
http://www.microsoft.com/downloads/de...=AB7C7015-20BB-4A0C-977A-969F4E2A5189
Ссылки
- http://www.securitylab.ru/analytics/362523.php
- http://www.securitylab.ru/vulnerability/361179.php
- http://www.securitylab.ru/vulnerability/361770.php
- http://www.securitylab.ru/vulnerability/359550.php
- http://blogs.technet.com/swi/archive/2009/01/09/ms09-001-prioritizing-the-deployment-of-the-smb-bulletin.aspx
- http://www.microsoft.com/technet/security/Bulletin/MS08-065.mspx
- http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
- http://www.microsoft.com/technet/security/Bulletin/MS09-001.mspx
Ученые доказали: чтение нашего канала продлевает жизнь!
Ладно, не доказали. Но мы работаем над этим