Bulletin zabezpečení

Bulletin zabezpečení společnosti Microsoft MS01-059 – kritické

Nezaškrtnutá vyrovnávací paměť v univerzálním technologie Plug and Play může vést k ohrožení systému

Publikováno: 20. prosince 2001 | Aktualizováno: 9. května 2003

Verze: 1.3

Původně publikováno: 20. prosince 2001
Aktualizováno: 9. května 2003

Shrnutí

Kdo by si měl přečíst tento bulletin:
Zákazníci používající systém Microsoft® Windows® ME nebo XP nebo uživatelé, kteří nainstalovali klienta sdílení internetu se systémem Windows XP Připojení ion v systému Windows 98 nebo 98SE.

Dopad ohrožení zabezpečení:
Spusťte kód volby útočníka.

Maximální hodnocení závažnosti:
Kritické

Doporučení:
Společnost Microsoft důrazně naléhavě vyzývá všechny zákazníky systému Windows XP, aby tuto opravu okamžitě použili. Zákazníci používající Systém Windows 98, 98SE nebo ME by měli tuto opravu použít, pokud je nainstalovaná a spuštěná podpora univerzálních technologie Plug and Play.

Ovlivněný software:

• Microsoft Windows 98
• Microsoft Windows 98SE
• Microsoft Windows ME
• Microsoft Windows XP

Obecné informace

Technické podrobnosti

Technický popis:

Univerzální technologie Plug and Play (UPnP) umožňuje počítačům zjišťovat a používat síťová zařízení. Windows ME a XP zahrnují nativní podporu UPnP; Systémy Windows 98 a 98SE nezahrnují nativní podporu UPnP, ale lze ji nainstalovat prostřednictvím klienta sdílení internetu Připojení ion, který je dodáván se systémem Windows XP. Tento bulletin popisuje dvě chyby zabezpečení ovlivňující tyto implementace UPnP. I když tato ohrožení zabezpečení nesouvisí, obě zahrnují způsob, jakým počítače podporující UPnP zpracovávají zjišťování nových zařízení v síti.

Prvním ohrožením zabezpečení je ohrožení zabezpečení přetečení vyrovnávací paměti. V jedné z komponent, které zpracovávají direktivy NOTIFY, existuje nezaškrtnutá vyrovnávací paměť – zprávy, které inzerují dostupnost zařízení podporujících UPnP v síti. Odesláním speciálně poškozené direktivy NOTIFY by útočník mohl způsobit spuštění kódu v kontextu subsystému UPnP, který běží s oprávněními systému v systému Windows XP. (V systémech Windows 98 a Windows ME se veškerý kód spouští jako součást operačního systému). To by útočníkovi umožnilo získat úplnou kontrolu nad systémem.

Druhá chyba zabezpečení má za následek, že implementace UPnP dostatečně neomešují kroky, na které budou chodit, aby získaly informace o použití nově zjištěného zařízení. V rámci direktivy NOTIFY, že nové zařízení UPnP odesílá informace o tom, kde mají získat popis svého zařízení, který uvádí služby, které zařízení nabízí, a pokyny k jejich použití. Popis zařízení se může podle návrhu nacházet na serveru třetí strany, ne na samotném zařízení. Implementace UPnP ale neregulují adekvátně způsob provádění této operace a to vede ke dvěma různým scénářům odepření služeb:

• Útočník by mohl odeslat direktivu NOTIFY počítači podporujícímu UPnP a určit, že by měl být popis zařízení stažen z konkrétního portu na konkrétním serveru. Pokud byl server nakonfigurovaný tak, aby jednoduše odrážel žádosti o stažení zpět do služby UPnP (například tím, že služba echo běží na portu, na kterém byl počítač přesměrován), může být počítač proveden tak, aby vstoupil do nekonečného cyklu stahování, který by mohl využívat některé nebo všechny dostupnosti systému. Útočník by mohl vytvořit a odeslat tuto direktivu přímo na počítač oběti pomocí IP adresy počítače. Nebo může poslat stejnou direktivu do domény všesměrového vysílání a vícesměrového vysílání a napadnout všechny ovlivněné počítače v rámci uši, které využívají některé nebo všechny tyto systémy dostupnosti.
• Útočník může jako hostitele zadat server třetí strany pro popis zařízení v direktivě NOTIFY. Pokud na direktivu odpovědělo dostatek počítačů, mohlo by to mít vliv na zahltit server třetí strany falešnými požadavky v distribuovaném útoku na dostupnost služby. Stejně jako v prvním scénáři by útočník mohl buď poslat direktivy oběti přímo, nebo do domény všesměrového vysílání nebo vícesměrového vysílání.

Správci systému by měli vědět, že oprava zavádí nové funkce, které jim umožňují přizpůsobit, jak opravené systémy provádějí zjišťování zařízení. Jak je popsáno v článku znalostní báze Microsoft Knowledge Base Q315056, tato oprava zavádí možnost konfigurovat službu UPnP tak, aby stahovala popisy zařízení pouze z místní podsítě, podsítě nebo privátní sítě, pouze privátní sítě nebo z jakékoli IP adresy. Ve výchozím nastavení budou opravené systémy kontrolovat popisy zařízení pouze v podsíti nebo privátní síti.

Zákazníci, kteří nemůžou opravu nainstalovat, můžou chránit své systémy zakázáním podpory UPnP, jak je popsáno v nejčastějších dotazech.

Faktory pro zmírnění rizika:

Obecné:

• Podnikové sítě můžou být chráněné proti internetovým útokům pomocí standardních postupů brány firewall (konkrétně blokování portů 1900 a 5000).
• Domácí sítě, které používají sdílení internetu Připojení ion, by byly chráněny proti internetovým útokům, protože internetová brána pakety nepřeposílat. Riskuje se pouze počítač brány.

Windows 98 a 98SE:

• Pro tyto systémy neexistuje žádná nativní podpora UPnP. Systémy Windows 98 a 98SE by byly ovlivněny pouze v případě, že byl v systému nainstalován internet Připojení ion Sdílení klienta ze systému Windows XP.
• Počítače se systémem Windows 98 a 98SE, které nainstalovaly klienta sdílení internetu Připojení ion ze systému Windows XP, který již tuto opravu použil, nejsou ohroženy.

Windows ME:

• Windows ME poskytuje nativní podporu UPnP, ale ve výchozím nastavení není nainstalovaná ani spuštěná. (Některé OEM však konfigurují předem připravené systémy s nainstalovanou a spuštěnou službou).

Windows XP:

• Brána firewall Připojení ion Internet, která je ve výchozím nastavení zapnutá při každé konfiguraci síťového připojení k internetu prostřednictvím některého ze systémových průvodců, by chránila před útoky pomocí jednosměrových zpráv. To by umožnilo útoky pouze prostřednictvím všesměrového nebo vícesměrového vysílání, což obvykle vyžaduje, aby se útočník nacházel ve stejném segmentu sítě jako ohrožený systém.

Hodnocení závažnosti:

Přetečení vyrovnávací paměti:

	Internetové servery	Intranetové servery	Klientské systémy
Windows 98, 98SE	Nic	Nic	Pokročilé
Windows ME	Nic	Nic	Pokročilé
Windows XP	Nic	Nic	Kritické

Ohrožení zabezpečení spočívající v odepření služby:

	Internetové servery	Intranetové servery	Klientské systémy
Windows 98, 98SE	Nic	Nic	Pokročilé
Windows ME	Nic	Nic	Pokročilé
Windows XP	Nic	Nic	Pokročilé

Agregovaná závažnost všech chyb zabezpečení eliminovaných opravou:

	Internetové servery	Intranetové servery	Klientské systémy
Windows 98, 98SE	Nic	Nic	Pokročilé
Windows ME	Nic	Nic	Pokročilé
Windows XP	Nic	Nic	Kritické

Výše uvedené posouzení je založeno na typech systémů ovlivněných ohrožením zabezpečení, jejich typických vzorech nasazení a vlivu, který by na ně mohlo mít zneužití tohoto ohrožení zabezpečení. Důležitost systému Windows XP je vyšší než u systémů Windows 98, 98SE a ME, protože ve výchozím stavu je ohrožena pouze systém Windows XP.

Identifikátor ohrožení zabezpečení:

• Přetečení vyrovnávací paměti:CAN-2001-0876
• Odepření služby:CAN-2001-0877

Testované verze:

Microsoft testoval systém Windows ME, systém Windows NT 4.0, Windows 2000 a Windows XP a službu UPnP, kterou lze nainstalovat v systémech Windows 98 a 98SE, aby bylo možné posoudit, zda jsou ovlivněny těmito chybami zabezpečení. Předchozí verze již nejsou podporovány a tato chyba zabezpečení může nebo nemusí být ovlivněna touto chybou zabezpečení.

Nejčastější dotazy

Jaká ohrožení zabezpečení jsou popsána v tomto bulletinu?
Tento bulletin popisuje dvě chyby zabezpečení, obě ovlivňují subsystém Univerzální technologie Plug and Play v systémech Windows 98, Windows 98SE, Windows ME a Windows XP.

Co je Univerzální technologie Plug and Play?
Univerzální technologie Plug and Play (UPnP) je funkce, která umožňuje zařízením v síti zjišťovat další zařízení a určovat, jak s nimi pracovat. UPnP je nejsnáznačnější díky porovnání s funkcí plug-and-play (PnP), kterou už většina uživatelů Windows zná. PnP umožňuje operačnímu systému zjišťovat nový hardware při instalaci do systému. Pokud například nainstalujete novou myš do počítače, PnP umožňuje systému Windows zjistit, načíst potřebné ovladače a začít ho používat. UPnP rozšiřuje tento koncept na zařízení v síti, nikoli na samotný místní systém. UPnP umožňuje počítačům zjistit další zařízení v síti a určit, jak je používat. Počítač může například pomocí UPnP zjistit, jestli jsou v síti tiskárny, které můžou používat, a naučit se je používat.

Jaké operační systémy podporují UPnP?

• Windows 98 ani Windows 98SE neobsahují nativní funkci UPnP. Lze jej přidat pouze instalací klientského softwaru pro sdílení internetových Připojení ion sdílení (ICS) v systému Windows XP.
• Windows ME obsahuje nativní funkci UPnP, ale ve výchozím nastavení není nainstalovaná ani spuštěná.
• UPnP nepodporují systém Windows NT 4.0 ani Windows 2000.
• Systém Windows XP obsahuje nativní funkci UPnP. Ve výchozím nastavení je nainstalovaný a spuštěný.

Mají tato ohrožení zabezpečení něco společného kromě skutečnosti, že zahrnují UPnP?
Ano. Obě zahrnují problémy ve způsobu, jakým subsystém UPnP provádí zjišťování zařízení.

Co je zjišťování zařízení UPnP a jak funguje?
Zjišťování zařízení je proces, pomocí kterého si počítače podporující UPnP uvědomí o dostupnosti zařízení, která můžou používat, a dozvíte se, jak od nich požadovat služby. Když se počítač s podporou UPnP spustí, můžou být zařízení v síti, kterou může používat. Chcete-li zjistit, zda se jedná o tento případ, počítač odešle požadavek vysílání (označovaný jako direktiva M-SEARCH), který žádá, aby jakékoli zařízení podporující UPnP přímo na něj reagovalo a poskytlo informace o jeho použití. Podobně platí, že když se zařízení podporující UPnP (například tiskárna podporující UPnP) spustí, mohou být počítače podporující UPnP již v síti, které by ho chtěly používat. Zařízení vysílá zprávu (označovanou jako direktiva NOTIFY) všem počítačům v uši, oznamuje svou přítomnost v síti a zve počítače, aby využívaly své služby.

Předpokládejme, že počítač podporující UPnP zjistí, že je k dispozici konkrétní zařízení. Jak se naučí, jak ho používat?
Počítač zkontroluje, jestli některé aplikace zaregistrovaly zájem o typ zařízení, o které se dozvěděl. Pokud ano, počítač se bude poradit s informacemi odesílaným zařízením, které bude obsahovat adresu URL, ze které bude popis zařízení – seznam služeb nabízených zařízením a pokyny k jejich vyžádání – stáhnout. Počítač pak stáhne popis zařízení a začne ho používat.

Jaká jsou ohrožení zabezpečení ovlivňující službu UPnP?
Existují dvě ohrožení zabezpečení:

• První ohrožení zabezpečení může útočníkovi umožnit získat úplnou kontrolu nad ovlivněným systémem.
• Druhé ohrožení zabezpečení by mohlo útočníkovi umožnit, aby buď zabránil ovlivněným systémům poskytovat užitečnou službu, nebo využívat více systémů uživatelů v distribuovaném útoku dosílání služby proti jednomu cíli.

Jaký je rozsah první chyby zabezpečení?
Toto ohrožení zabezpečení spočívající v přetečení vyrovnávací paměti. Útočník, který tuto chybu zabezpečení úspěšně zneužil, by mohl získat úplnou kontrolu nad ovlivněným systémem. Je zřejmé, že se jedná o závažnou chybu zabezpečení a důrazně doporučujeme zákazníkům okamžitě použít opravu.

Co způsobuje ohrožení zabezpečení?
Příčinou ohrožení zabezpečení je jedna ze součástí implementace Windows XP, Windows ME, Windows 98 a Windows 98SE UPnP, která obsahuje nezaškrtnutou vyrovnávací paměť, která by mohla být přetečení prostřednictvím speciálně poškozené direktivy UPnP NOTIFY.

Co je špatného s tím, jak subsystém UPnP zpracovává direktivy NOTIFY?
Jedna z komponent těchto implementací, které se týkají zpracování direktiv NOTIFY, obsahuje nezaškrtnutou vyrovnávací paměť. Pokud subsystém UPnP obdržel direktivu NOTIFY, která je zvlášť poškozena, bude výsledkem přetečení vyrovnávací paměti daty z direktivy NOTIFY. Pokud by byla tato data pečlivě zvolena, měla by vliv na změnu provozu subsystému UPnP během běhu.

Co by to útočníkovi umožnilo dělat?
Útočník, který tuto chybu zabezpečení úspěšně zneužil, může změnit subsystém UPnP tak, aby prováděl jakoukoli požadovanou úlohu. Vzhledem k tomu, že subsystém UPnP běží jako součást operačního systému, poskytne útočníkovi úplnou kontrolu nad systémem.

Jak může útočník zneužít tuto chybu zabezpečení?
Útočník by mohl tuto chybu zabezpečení zneužít tak, že vytvoří direktivu NOTIFY s potřebnou chybnou chybou a odešle ji do jiných počítačů v síti.

Jak by útočník poslal direktivu NOTIFY ostatním počítačům?
Direktivu NOTIFY je možné odeslat buď jako jednosměrovou zprávu (tj. zprávu, která se odesílá přímo do konkrétního počítače), nebo jako vícesměrové vysílání nebo vysílání (tj. všesměrové vysílání do skupiny počítačů). Konkrétní typ zvolený útočníkem by byl důležitý. Formulář jednosměrového vysílání by útočníkovi umožnil větší dosah, ale za cenu, že potřebuje znát další informace o cíli. Naproti tomu formulář vícesměrového vysílání umožní útočníkovi ohrozit více počítačů, aniž by o nich věděl mnoho, ale za cenu omezení rozsahu útoku na počítače ve stejném segmentu sítě jako útočník.

Jak by fungoval útok prostřednictvím zprávy NOTIFY jednosměrového vysílání?
V případě jednosměrového vysílání by útočník odeslal zprávu NOTIFY přímo do jiného počítače, jako by v odpovědi na direktivu M-SEARCH z počítače. Výhodou použití jednosměrové zprávy je, že útočník by mohl napadnout jakýkoli počítač, kterému by mohl zprávu NOTIFY doručit. Útočník by mohl potenciálně ohrozit počítače přes velké vzdálenosti pomocí zpráv jednosměrového vysílání. Nevýhodou je, že by útočník potřeboval znát IP adresu cíle. Většina sítí používá protokol DHCP (Dynamic Host Configuration Protocol) ke správě fondu IP adres a v důsledku toho se IP adresa konkrétního počítače může poměrně často měnit. I když je určitě možné zjistit IP adresu počítače, může to vyžadovat značnou práci v závislosti na okolnostech.

Jak by fungoval útok prostřednictvím vícesměrového vysílání nebo zprávy NOTIFY?
Ve scénářích s vícesměrovým vysíláním nebo vysíláním by útočník odeslal zprávu NOTIFY na adresu vícesměrového vysílání nebo vysílání, jako by byl z nového zařízení podporujícího UPnP. Výhodou použití těchto zpráv je, že útočník nemusí znát IP adresu žádného jiného počítače a potenciálně by mohl ohrozit velký počet počítačů jediným útokem. Nevýhodou pro útočníka je, že většina směrovačů a bran firewall nepřeposílat zprávy vícesměrového vysílání a všesměrového vysílání. (Abyste pochopili proč, zvažte, co by se stalo, kdyby je přeposlal - každý vícesměrový nebo všesměrový vysílání z libovolného počítače na světě by se doručil do všech ostatních počítačů na světě a internet by se rychle zamáhl daty). V důsledku toho by útoky prostřednictvím vícesměrového vysílání nebo všesměrového vysílání obecně byly účinné pouze v rámci segmentu sítě nebo podsítě útočníka.

Znamená to, že ohrožení zabezpečení není vážné?
Naopak, je to velmi vážné. V podsíti můžou být stovky počítačů a toto ohrožení zabezpečení by útočníkovi umožnilo získat úplnou kontrolu nad všemi počítači pomocí jedné direktivy NOTIFY. Důrazně vyzýváme zákazníky, aby okamžitě použili opravu.

Chránila by podniková brána firewall před útoky z internetu?
Ano. Většina podnikových bran firewall blokuje zprávy vícesměrového vysílání i nevyžádané zprávy jednosměrového vysílání. Kromě toho blokování portů 1900 a 5000 pomáhá chránit před internetovými útoky.

Bude brána firewall Připojení ion chránit počítače se systémem Windows XP před tímto ohrožením zabezpečení?
Internet Připojení ion Firewall (ICF) blokuje nevyžádané jednosměrové zprávy, takže by chránil systém Windows XP před útokem připojeným pomocí jednosměrového vysílání. To by neposkytovalo celkovou ochranu – ICF neblokuje vícesměrové vysílání ani všesměrové vysílání, ale výrazně by se snížilo riziko pro uživatele systému Windows XP. Jak jsme si probrali výše, jednosměrové zprávy se dají posílat přes velké vzdálenosti, kdy vícesměrové vysílání a všesměrové vysílání obvykle nemůže. To znamená, že pro uživatele systému Windows XP by útočník pravděpodobně potřeboval umístění ve stejném síťovém segmentu, aby mohl toto ohrožení zabezpečení zneužít.

Je ve výchozím nastavení v systému Windows XP povolená funkce ICF?
Obecně platí, že rozhraní ICF je automaticky povoleno, kdykoli se průvodce používá k vytvoření síťového připojení k internetu. Například ICF je zapnutá ve všech následujících scénářích:

• Pokud je systém Windows XP používán hostitele sdílení internetu Připojení ion.
• Když se vytvoří připojení k internetu prostřednictvím Průvodce vytvořením nového Připojení ionu.
• Pokud je v Průvodci instalací sítě identifikováno připojení k internetu.
• Při vytvoření nebo identifikaci připojení k internetu v průvodci Vítá vás systém Windows.

Funkce ICF není ve výchozím nastavení povolená v případech, jako jsou následující:

• Pokud se uživatel rozhodne vytvořit síťové připojení ručně. V takovém případě musí být všechny možnosti sítě ( včetně ICF) povolené nebo zakázané ručně.
• Pokud se připojení přímo nepřipojí k internetu – například pokud se jedná o připojení k síti LAN. V takových případech už brána firewall chrání celou síť.
• Pokud byl systém upgradován z předchozí verze Windows a již měl existující připojení k internetu. V takovém případě je možné protokol ICF povolit ručně.

Další informace o provozu ICF a podmínkách, za kterých je ve výchozím nastavení povolená, najdete v tématu "Přehled funkcí brány firewall pro internet Připojení ion".

Mám domácí síť, která používá sdílení internetu Připojení ion pro připojení k internetu. Mohl by někdo na internetu napadnout počítače v interiéru mé sítě?
Ne. Brána sdílení internetu Připojení by nepřeposílala zprávy NOTIFY bez ohledu na to, jestli jsou odesílány jednosměrovým vysíláním, vícesměrovým vysíláním nebo vysíláním. To znamená, že internetový útočník nemohl zneužít ohrožení zabezpečení vůči systémům v interiéru sítě. Mohl by ale zneužít ohrožení zabezpečení vůči systému brány.

Jak zjistím, jestli potřebuji opravu?
V systémech Windows XP, 98 a 98SE je poměrně snadné zjistit, jestli potřebujete opravu:

• Pokud používáte Systém Windows XP, potřebujete opravu. Všechny systémy Windows XP jsou ohroženy ve svých výchozích konfiguracích.
• Pokud používáte Windows 98 nebo Windows 98SE, potřebujete opravu jenom v případě, že jste nainstalovali klientský software pro sdílení internetových Připojení ionů.

Pro Windows ME je to o něco obtížnější. Windows ME obsahuje subsystém UPnP, ale ve výchozím nastavení není spuštěný. Někteří výrobci hardwaru ho ale zapnou ve svých předkonfigurovaných systémech. Pokud chcete zjistit, jestli je subsystém UPnP spuštěný, postupujte takto:

1. Klikněte na Start, Nastavení a pak vyberte Ovládací panely.
2. Vyberte Přidat nebo odebrat programy.
3. Vyberte kartu s názvem Nastavení systému Windows.
4. V poli Součásti vyberte Communications (Komunikace) a potom Details (Podrobnosti).
5. Posuňte se dolů a podívejte se, jestli je zaškrtnuté políčko vlevo od univerzálního technologie Plug and Play. Pokud ano, potřebujete opravu; pokud ne, tak ne.

Co oprava dělá?
Oprava eliminuje ohrožení zabezpečení tím, že zavádí řádné zpracování vyrovnávací paměti v implementacích Windows XP, Windows ME, Windows 98 a Windows 98SE UPnP.

Pokud nemůžu nainstalovat opravu, existuje jiný způsob ochrany systému?
Ano. Systém můžete chránit zakázáním funkce UPnP. Než to ale uděláte, měli byste si uvědomit, že to bude mít vliv na fungování určitých systémových funkcí. Zejména zakázání UPnP v systému Windows XP ovlivní provoz funkce Sdílení internetu Připojení ion (ICS), která umožňuje více počítačům s Windows sdílet jedno připojení prostřednictvím systému Windows XP k internetu. Pokud je funkce UPnP zakázaná, klienti ICS nebudou moct automaticky rozpoznat internetovou bránu a budete muset informace o bráně nakonfigurovat ručně v každém klientském systému. Tady je postup, jak zakázat funkci UPnP: Windows XP:

1. Přihlaste se pomocí účtu, který má oprávnění správce.
2. Klikněte na Start, pak klikněte pravým tlačítkem myši na Můj počítač a vyberte Spravovat.
3. V levém podokně klikněte na +vedle služeb a aplikací a potom klikněte na Služby.
4. V pravém podokně klikněte pravým tlačítkem na službu zjišťování SSDP a vyberte Vlastnosti.
5. V rozevíracím seznamu s názvem Typ spuštění vyberte Zakázáno.
6. V části Stav služby v dialogovém okně klikněte na Zastavit.
7. Klepnutím na tlačítko OK dialogové okno ukončete a zavřete okno Správa počítače.

Windows ME:

1. Klikněte na Start, Nastavení a pak vyberte Ovládací panely.
2. Vyberte Přidat nebo odebrat programy.
3. Vyberte kartu s názvem Nastavení systému Windows.
4. V poli Součásti vyberte Communications (Komunikace) a potom Details (Podrobnosti).
5. Zrušte zaškrtnutí políčka pro univerzální technologie Plug and Play.
6. Klepnutím na tlačítko OK dialogové okno ukončete a zavřete dialogové okno Nastavení systému Windows.
7. Restartujte počítač.

Windows 98 nebo 98SE:

1. Klikněte na Start, Nastavení a pak vyberte Ovládací panely.
2. Vyberte Přidat nebo odebrat programy.
3. Vyberte kartu s názvem Nastavení systému Windows.
4. V poli Součásti vyberte Communications (Komunikace) a potom Details (Podrobnosti).
5. Zrušte zaškrtnutí políčka pro univerzální technologie Plug and Play.
6. Klepnutím na tlačítko OK dialogové okno ukončete a zavřete dialogové okno Nastavení systému Windows.
7. Restartujte počítač.

V pokynech systému Windows XP výše jste řekli, že zakázat službu zjišťování SSDP, ale vidím službu s názvem "UPnP Device Host". Mám tuto službu také zakázat?
Ne. I přes jeho název není hostitelská služba zařízení UPnP nijak související s touto chybou zabezpečení a není nutné ji zakázat. Služba UPnP Device Host umožňuje jiným službám v systému Windows XP inzerovat sebe, jako by šlo o zařízení UPnP a není zapojena do způsobu, jakým systém zpracovává skutečná zařízení UPnP.

Pokud nainstaluji opravu do systému Windows XP a následně použít tento systém k instalaci klientského softwaru pro internet Připojení ion Sdílení v systému Windows 98, 98SE nebo ME, musím na něj použít opravu?
Existují dva způsoby, jak nainstalovat klienta sdílení protokolu ICS (Internet Připojení ion) a odpověď závisí na tom, jakou metodu zvolíte. Jedním ze způsobů je vytvořit disketu Průvodce instalací sítě v systému Windows XP a pak použít disketu k instalaci klienta ICS do takzvaného systému downlevel (tj. jeden se systémem Windows 98, 98SE nebo ME). Pokud použijete tuto metodu a systém Windows XP, na kterém vytvoříte disketu, již obsahuje opravu, nemusíte opravovat systém downlevel - Průvodce instalací sítě nainstaluje verzi ICS, která již opravu obsahuje. Na druhou stranu, pokud vytvoříte disketu v systému Windows XP nemá opravu, budete muset opravit systém nižší úrovně po instalaci ICS. (Samozřejmě, měli byste také opravit systém Windows XP). Druhým způsobem instalace klienta ICS na nižší úroveň systému je jeho instalace přímo z disku CD-ROM systému Windows XP. Pokud použijete tuto metodu, budete muset nainstalovat opravu na nižší úroveň systému.

Snažil jsem se nainstalovat opravu v mém systému Windows 98, ale oprava zobrazila zprávu, že to nebylo určeno pro moji verzi Windows. Co se stalo? Dvakrát jsem zkontroloval, že jsem nainstaloval windows 98 verzi opravy. Oprava systému Windows 98 a 98SE se nainstaluje pouze v případě, že je klient ICS v systému k dispozici, protože to je jediný způsob, jakým lze do systému přidat funkci UPnP. Zpráva, kterou jste viděli, znamená, že klient ICS v systému není a oprava proto není nutná.

Jaký je rozsah druhé chyby zabezpečení?
Druhým ohrožením zabezpečení je ohrožení zabezpečení útoku na dostupnost služby. Dá se použít jedním ze dvou způsobů – může se použít buď v útoku, který by zahrnoval pouze jeden počítač, a zpomalil nebo zastavil jeho výkon, nebo by se mohl použít v distribuovaném útoku do odepření služby, ve kterém by útočník nasměroval více počítačů, aby spojil síly proti jinému počítači a zapnul ho daty. Tuto chybu zabezpečení nelze použít k získání jakékoli správní kontroly nad systémem – jediným použitím by bylo zasahování do úsilí legitimního uživatele o jeho použití.

Co způsobuje ohrožení zabezpečení?
Toto ohrožení zabezpečení má za následek, že implementace UPnP ve Windows 98, Windows 98SE, Windows ME a Windows XP se při stahování popisu zařízení podporujícího UPnP nevztahují dostatečná omezení na proces, který následují.

Jaký je proces, podle kterého počítače vyhledá a stahují popisy zařízení?
Když počítač podporující UPnP obdrží direktivu NOTIFY, zkontroluje, jestli aplikace zaregistrovala zájem o typ zařízení, které odeslalo oznámení. Pokud ano, počítač se poraďte s direktivou NOTIFY, která obsahuje adresu počítače a číslo portu, ze kterého lze stáhnout popis zařízení. Počítač pak kontaktuje zadaný počítač a požádá o jeho popis.

Co je špatně se způsobem, jakým subsystém UPnP zpracovává popisy zařízení?
Existují dva problémy. Za prvé, subsystém neomezuje velikost popisů zařízení, které stáhne, ani nekontroluje, jestli jsou data, která jsou vymýšliná popisem zařízení skutečně platná. Za druhé, subsystém neprovádí správné kroky, aby se zajistilo, že počítač, na který byl přesměrován, je ve skutečnosti web pro stahování popisů zařízení.

Jaký je první problém, který útočníkovi umožní dělat?
První problém by mohl útočníkovi umožnit, aby poslal systém uživatele na podvodný web pro stahování pouze za účelem zpomalení nebo zastavení systému uživatele.

Jak by útočník takový útok provedl?
Existuje mnoho variant, které je možné použít, ale tady je poměrně jednoduchý scénář, který ilustruje jeden možný útok. Předpokládejme, že útočník věděl o serveru, na kterém je spuštěná služba Chargen. Chargen je standardní služba TCP/IP, která jednoduše generuje datový proud, kdykoli se k němu systém připojí, a není neobvyklé najít servery se spuštěným chargenem. Samozřejmě, pokud by takový server nebyl užitečný, útočník by ho mohl nastavit. Útočník by mohl odeslat do systému uživatele direktivu NOTIFY, inzerovat nové zařízení podporující UPnP a směrovat systém tak, aby se připojil k serveru Chargen. Systém uživatele odešle na server žádost o stažení, která by v reakci na požadavek vygenerovala náhodná data. Služba UPnP by to interpretovala jako součást popisu zařízení a umožňovala stahování pokračovat v nekonečném využívání prostředků zpracování a místa na disku v systému uživatele.

Mohlo by útok způsobit, že se systém uživatele úplně zastaví?
Účinek útoku by byl vysoce závislý na konkrétních okolnostech scénáře, včetně relativního výpočetního výkonu a dostupnosti těchto dvou systémů, šířky pásma sítě mezi nimi a dalších faktorů. V nejlepším případě může útok zpomalit pouze výkon systému; v nejhorším případě může spotřebovávat prakticky všechny prostředky v systému, což brání v provedení jakékoli užitečné práce.

Jak může uživatel obnovit normální službu?
Uživatel by mohl obnovit normální službu zastavením a restartováním služby, která řídí zpracování popisů zařízení, službu zjišťování SSDP.

Co by druhý problém útočníkovi umožnil?
Druhý problém by umožnil útok, který je v podstatě obrácený z výše popsaného útoku. Místo cílení na systém uživatele za účelem zpomalení by druhý problém mohl útočníkovi umožnit, aby několik systémů podporujících UPnP spojily síly v distribuovaném útoku dosobí, který by spotřeboval všechny prostředky v jednom systému třetí strany.

Jak by tento útok fungoval?
Stejně jako v předchozím případě existuje mnoho způsobů, jak útok ovlivnit, ale jedním jednoduchým útokem by bylo odeslání příkazů NOTIFY mnoha počítačům podporujícím UPnP, které všechny směrují na kontaktování serveru třetí strany s popisem zařízení. Pokud by se zapojilo dostatek počítačů, může celkový objem žádostí o stažení potenciálně zpomalit výkon serveru třetí strany nebo ho potenciálně přemístit úplně.

Mohl by útočník udělat něco víc než odepření služby někomu?
Ne. Žádný z těchto útoků by útočníkovi neumožní získat žádnou formu kontroly nad počítači nebo ohrozit data. Obě se dají použít pouze pro útoky na odepření služeb.

Mohly by se tyto útoky, jako jsou útoky v první chybě zabezpečení, iniciovat prostřednictvím jednosměrového vysílání, vícesměrového vysílání a vysílání?
Ano. Stejně jako v případě ohrožení zabezpečení, které jsme probírali výše, mohou být útoky zahájeny prostřednictvím jednosměrového vysílání, direktivy NOTIFY vícesměrového vysílání nebo všesměrového vysílání NOTIFY. V tomto případě by se použily všechny stejné výhody a nevýhody: útočník by mohl pomocí jednosměrových zpráv získat větší dosah, ale za cenu potřeby znát IP adresu cílového počítače; nebo může použít vícesměrové nebo všesměrové zprávy k útoku na více počítačů, aniž by bylo nutné znát jejich IP adresy, a to za cenu omezení útoku na počítače ve stejném segmentu sítě jako útočník.

Jak oprava brání prvnímu problému?
Oprava zabrání prvnímu problému omezením dat, která budou přijata jako popis zařízení. Oprava vytváří maximální velikost popisů zařízení; pokud popis zařízení tuto velikost překročí, subsystém UPnP zastaví stahování. Také způsobí, že subsystém zkontroluje data při jejich příchodu, a zastaví stahování, pokud data nejsou platná pro popis zařízení.

Jak oprava zabrání druhému problému?
Oprava eliminuje druhý problém tím, že omezí, kde subsystém UPnP vyhledá popisy zařízení. Oprava způsobí, že zkontroluje umístění zadané ve zprávě NOTIFY popis zařízení a bude pokračovat ve stahování pouze v případě, že toto umístění projde několika testy. Subsystém UPnP před pokusem o stažení popisu zařízení zkontroluje umístění stahování. Ve výchozím nastavení bude opravený systém stahovat pouze popis zařízení umístěný v počítači ve stejné podsíti nebo rozsahu privátních adres. Subsystém také zkontroluje, kolik směrování směrovačů je potřeba k dosažení umístění, a pokračuje pouze v případě, že je toto číslo dostatečně malé. Ve výchozím nastavení si opravený systém stáhne popis zařízení jenom v případě, že je počítač, který ho hostuje, umístěn čtyři nebo méně segmentů směrování. Obě tato nastavení jsou konfigurovatelná, jak je popsáno v článku znalostní báze Microsoft Knowledge Base Q315056. Kromě toho oprava zavádí mechanismus zpoždění, který usnadňuje používání sítě. Opravené systémy stahují popisy zařízení podle různých sazeb v závislosti na tom, jak daleko je umístění stahování. Umístění pro stahování, která jsou ve veřejné síti, jako je například internet, se stahují pomaleji, aby se omezily požadavky na ně. Stejně tak pokaždé, když systém při stahování popisu zařízení narazí na chyby, zvyšuje dobu, po kterou čeká před opakováním.

Pokud opravu nemůžu nainstalovat, můžu chránit před touto chybou zabezpečení zakázáním podpory UPnP?
Ano. Pokyny pro zakázání podpory UPnP najdete výše.

Dostupnost oprav

Stažení umístění pro tuto opravu

• Microsoft Windows 98/98SE:
  https://www.windowsupdate.com

  Nebo

  https://www.microsoft.com/download/details.aspx?FamilyId=4F1C2546-9CF8-413D-866F-DD1E5A2D7454& displaylang;=en

• Microsoft Windows ME:
  https://www.windowsupdate.com

  Nebo

  https://download.microsoft.com/download/winme/Update/22940/WinMe/EN-US/314757USAM.EXE

• Microsoft Windows XP:
  https://www.windowsupdate.com

  Nebo

  https://www.microsoft.com/download/details.aspx?FamilyId=D17CBEB5-7478-4147-B4BA-E6CF686A352B& displaylang;=en

Další informace o této opravě

Instalační platformy:

• Opravu pro systém Windows 98 a 98SE lze nainstalovat do libovolného systému Windows 98 nebo 98SE, na kterém byl nainstalován klient sdílení internetu systému Windows XP Připojení ion.
• Opravu pro Systém Windows ME je možné nainstalovat v systémech se systémem Windows ME Gold.
• Opravu systému Windows XP lze nainstalovat v systémech se systémem Windows XP Gold.

Zahrnutí do budoucích aktualizací Service Pack:

• Pro Windows 98, 98SE nebo ME se neplánují žádné budoucí aktualizace Service Pack.
• Oprava tohoto problému bude součástí aktualizace Windows XP Service Pack 1.

Vyžaduje se restartování: Ano

Nahrazené opravy:MS01-054

Ověření instalace oprav:

Windows 98 a 98SE:

• Pokud chcete ověřit, že je na počítači nainstalovaná oprava, vyberte Start, pak Spusťte a spusťte nástroj QFECheck. Pokud je oprava nainstalovaná, bude mezi nainstalovanými opravami uvedena aktualizace Windows 98 Q314941 Update.
• Pokud chcete ověřit jednotlivé soubory, použijte manifest souboru uvedený v článku znalostní báze Knowledge Base Q314941.

Windows ME:

• Pokud chcete ověřit, že je na počítači nainstalovaná oprava, vyberte Start, pak Spusťte a spusťte nástroj QFECheck. Pokud je oprava nainstalovaná, bude mezi nainstalovanými opravami uvedena aktualizace Windows Millennium Edition Q314757 Update.
• Pokud chcete ověřit jednotlivé soubory, použijte manifest souboru uvedený v článku znalostní báze Knowledge Base Q314757.

Windows XP:

• Pokud chcete ověřit, že je na počítači nainstalovaná oprava, ověřte, že se na počítači vytvořil následující klíč registru:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Aktualizace\Windows XP\SP1\Q315000.
• Pokud chcete ověřit jednotlivé soubory, použijte informace o datu a čase a verzi uvedené v následujícím klíči registru:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Aktualizace\Windows XP\SP1\Q315000\Filelist.

Upozornění:

Nic

Lokalizace:

Lokalizované verze této opravy jsou ve vývoji. Po dokončení budou k dispozici v umístěních probíraných v části Získání dalších oprav zabezpečení.

Získání dalších oprav zabezpečení:

Opravy jiných problémů se zabezpečením jsou k dispozici v následujících umístěních:

• Opravy zabezpečení jsou k dispozici na webu Microsoft Download Center a dají se snadno najít vyhledáním klíčového slova "security_patch".
• Opravy pro uživatelské platformy jsou k dispozici na webu WindowsUpdate .

Další informace:

Potvrzování

Microsoft děkujeme společnosti eEye Digital Security (https://www.eeye.com) za hlášení tohoto problému nám a spolupráci s námi na ochranu zákazníků.

Podpora:

• Články znalostní báze Microsoft Knowledge Base Q314757, Q314941, Q315000 a Q315056 tento problém popisují a budou k dispozici přibližně 24 hodin po vydání tohoto bulletinu. Články znalostní báze najdete na webu podpory Microsoft Online Support .
• Technická podpora je k dispozici v produktových službách společnosti Microsoft. Za volání podpory spojené s opravami zabezpečení se neúčtují žádné poplatky.

Zdroje zabezpečení:Web Microsoft TechNet Security poskytuje další informace o zabezpečení v produktech Společnosti Microsoft.

Právní omezení:

Informace poskytované ve znalostní bázi Microsoft Knowledge Base jsou poskytovány "tak, jak jsou" bez záruky jakéhokoli druhu. Společnost Microsoft odmítá všechny záruky, ať už výslovné nebo předpokládané, včetně záruk prodejnosti a vhodnosti pro určitý účel. V žádném případě společnost Microsoft Corporation nebo její dodavatelé nenese odpovědnost za jakékoli škody, včetně přímých, nepřímých, náhodných, následných, ztrát obchodních zisků nebo zvláštních škod, a to i v případě, že společnost Microsoft Corporation nebo její dodavatelé byli upozorněni na možnost těchto škod. Některé státy neumožňují vyloučení nebo omezení odpovědnosti za následné nebo náhodné škody, takže výše uvedené omezení nemusí platit.

Revize:

• V1.0 (20. prosince 2001): Bulletin byl vytvořen.
• V1.1 (26. prosince 2001): Další podrobnosti o tom, jak oprava eliminuje scénáře odepření služeb.
• V1.2 (31. prosince 2001): Bulletin byl aktualizován tak, aby poskytoval další faktory zmírnění (protokol ICF je účinný proti útokům jednosměrového vysílání a ICS chrání počítače v interiéru domácích sítí) a poskytuje informace o zakázání podpory UPnP.
• V1.3 (9. května 2003): Aktualizace odkazů ke stažení na služba Windows Update

Postaveno v 2014-04-18T13:49:36Z-07:00