Советы по безопасности

Советы по безопасности Майкрософт 921923

Подтверждение концепции кода, опубликованного на службе удаленного доступа диспетчер подключений

Опубликовано: 23 июня 2006 г.

Корпорация Майкрософт знает, что подробный код эксплойтов был опубликован в Интернете для уязвимости, которая устранена бюллетенем майкрософт по безопасности MS06-025. Корпорация Майкрософт в настоящее время не знает о активных атаках, использующих этот код эксплойтов или влияние клиента на данный момент. Однако корпорация Майкрософт активно отслеживает эту ситуацию, чтобы пользователи могли получать информацию и предоставлять рекомендации по работе с клиентами по мере необходимости.
Наше исследование этого кода эксплойтов проверило, что это не влияет на клиентов, которые установили обновления, подробные в MS06-025 на своих компьютерах.  Корпорация Майкрософт продолжает рекомендовать клиентам применять обновления к затронутым продуктам, включив функцию автоматического Обновления в Windows.
Корпорация Майкрософт разочарована тем, что некоторые исследователи безопасности нарушили общепринятую индустрию практики удержания данных уязвимостей так близко к обновлению и опубликовали код эксплойтов, потенциально причиняя вред пользователям компьютеров. Мы продолжаем призывать исследователей безопасности раскрывать информацию об уязвимостях ответственно и разрешать клиентам развертывать обновления, чтобы они не помогают преступникам в их попытке воспользоваться уязвимостями программного обеспечения

Смягчающие факторы:

  • Клиенты, которые установили обновление безопасности MS06-025 , не влияют на эту уязвимость.
  • Системы Windows 2000 в основном подвержены риску от этой уязвимости. Клиенты под управлением Windows 2000 должны как можно скорее развернуть MS06-025 или отключить службу RASMAN.
  • В Windows XP с пакетом обновления 2 (SP2), Windows Server 2003 и Windows Server 2003 с пакетом обновления 1 (SP1) злоумышленнику потребуется иметь действительные учетные данные для входа в систему, чтобы воспользоваться уязвимостью.
  • Эта проблема не влияет на Windows 98, Windows 98 SE или Windows Millennium Edition.

Общие сведения

Обзор

Назначение рекомендаций. Уведомление о доступности обновления системы безопасности для защиты от этой потенциальной угрозы.

Состояние рекомендаций. Так как эта проблема уже устранена в рамках бюллетеня по безопасности MS06-025 , никаких дополнительных обновлений не требуется.

Рекомендация. Установите обновление безопасности MS06-025 для защиты от этой уязвимости.

Ссылки Идентификация
Справочник по CVE CVE-2006-2370
CVE-2006-2371
Бюллетень по безопасности MS06-025

В этом руководстве рассматривается следующее программное обеспечение.

Microsoft Windows 2000 с пакетом обновления 4 (SP4)
Microsoft Windows XP с пакетом обновления 1 (SP1) и Microsoft Windows XP с пакетом обновления 2 (SP2)
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 и Microsoft Windows Server 2003 с пакетом обновления 1 (SP1)
Microsoft Windows Server 2003 для систем на основе Itanium и Microsoft Windows Server 2003 с пакетом обновления 1 (SP1) для систем на основе Itanium
Microsoft Windows Server 2003 x64 Edition

Вопросы и ответы

Что такое область рекомендаций?
Корпорация Майкрософт знает о общедоступной публикации кода эксплойтов, предназначенных для уязвимостей, определенных в обновлении безопасности Майкрософт MS06-025. Это влияет на программное обеспечение, указанное в разделе "Обзор"

Это уязвимость безопасности, требующая от Майкрософт выдачи обновления безопасности?
№ Клиенты, которые установили обновление безопасности MS06-025 , не влияют на эту уязвимость. Дополнительное обновление не требуется.

Что вызывает эту угрозу?
Не проверка управляемый буфер в технологиях маршрутизации и удаленного доступа, в частности влияющий на службу удаленного доступа диспетчер подключений (RASMAN)

Что делает функция?
Диспетчер подключений удаленного доступа — это служба, которая обрабатывает сведения о установке подключения к удаленному серверу. Эта служба также предоставляет клиенту сведения о состоянии во время операции подключения. Диспетчер подключений удаленного доступа автоматически запускается при загрузке приложения RASAPI32.DLL

Что может сделать злоумышленник с помощью этой функции?
Злоумышленник, который успешно воспользовался этой уязвимостью, может полностью контролировать затронутую систему.

Существуют ли известные проблемы с установкой обновления безопасности Майкрософт MS06-025, которая защищает от этой угрозы?
Статья базы знаний Майкрософт 911280документирует известные проблемы, которые могут возникнуть у клиентов при установке обновления системы безопасности. Только клиенты, использующие подключения с телефонным подключением, использующие сценарии, которые настраивают свое устройство для четности, остановки битов или битов данных или окна терминала после подключения или скрипта телефонного подключения, влияют на проблемы, выявленные в статье КБ. Если клиенты не используют ни один из сценариев телефонного подключения, определяемых им, рекомендуется немедленно установить обновление.

Предлагаемые действия

Если вы установили обновление, выпущенное с помощью бюллетеня по безопасности MS06-025, вы уже защищены от атаки, обнаруженной в общедоступной публикации доказательства кода концепции. Если вы не установили обновление или пострадали от каких-либо сценариев, определенных в статье базы знаний Майкрософт 911280, рекомендуется отключить службу удаленного доступа диспетчер подключений.

  • Отключение службы диспетчер подключений удаленного доступа

    Отключение службы удаленного доступа диспетчер подключений поможет защитить затронутую систему от попыток использования этой уязвимости. Чтобы отключить службу удаленного доступа диспетчер подключений (RASMAN), выполните следующие действия.

    1. Нажмите кнопку "Пуск", а затем щелкните панель управления. Кроме того, наведите указатель на Параметры и щелкните панель управления.
    2. Дважды щелкните значок Администрирование.
    3. Дважды щелкните Службы.
    4. Дважды щелкните диспетчер подключений удаленного доступа
    5. В списке "Тип запуска" нажмите кнопку "Отключено".
    6. Нажмите кнопку "Остановить" и нажмите кнопку "ОК".

    Вы также можете остановить и отключить службу удаленного доступа диспетчер подключений (RASMAN) с помощью следующей команды в командной строке:

    sc stop rasman & sc config rasman start= disabled

    Влияние обходного решения. Если вы отключите службу удаленного доступа диспетчер подключений, вы не можете предлагать службы маршрутизации другим узлам в локальной области и сетевых средах с широкими областями. Поэтому мы рекомендуем это решение только в системах, которые не требуют использования RASMAN для удаленного доступа и маршрутизации.

  • Блокируйте следующее в брандмауэре:

    • Порты UDP 135, 137, 138 и 445 и TCP-порты 135, 139, 445 и 593
    • Все незапрошенные входящий трафик на портах больше 1024
    • Любой другой специально настроенный порт RPC

    Эти порты используются для запуска подключения к RPC. Блокировка их на брандмауэре поможет защитить системы, которые находятся за этим брандмауэром от попыток использования этой уязвимости. Кроме того, убедитесь, что вы блокируете любой другой специально настроенный порт RPC в удаленной системе. Рекомендуется блокировать все незапрошенные входящий трафик из Интернета, чтобы предотвратить атаки, которые могут использовать другие порты. Дополнительные сведения о портах, которые использует RPC, см. на следующем веб-сайте.

  • Чтобы защититься от сетевых попыток использования этой уязвимости, используйте личный брандмауэр, напримербрандмауэр Подключение интернета, который входит в состав Windows XP и Windows Server 2003.

    По умолчанию функция брандмауэра интернета Подключение ion в Windows XP и Windows Server 2003 помогает защитить подключение к Интернету, блокируя незапрошенный входящий трафик. Рекомендуется заблокировать все незапрошенные входящие сообщения из Интернета. В Windows XP с пакетом обновления 2 эта функция называется брандмауэром Windows.

    Чтобы включить функцию брандмауэра Подключение ion в Интернете с помощью мастера настройки сети, выполните следующие действия.

    1. Нажмите кнопку "Пуск", а затем щелкните панель управления.
    2. В представлении категорий по умолчанию щелкните "Сеть" и "Интернет Подключение", а затем нажмите кнопку "Настройка" или "Изменить свою домашнюю или небольшую сеть office". Функция брандмауэра Подключение ion в Интернете включена при выборе конфигурации в мастере настройки сети, которая указывает, что система подключена непосредственно к Интернету.

    Чтобы настроить брандмауэр интернета Подключение ion вручную для подключения, выполните следующие действия.

    1. Нажмите кнопку "Пуск", а затем щелкните панель управления.
    2. В представлении категорий по умолчанию щелкните "Сеть" и "Интернет Подключение" и щелкните "Сетевые Подключение".
    3. Щелкните правой кнопкой мыши подключение, на котором нужно включить брандмауэр Подключение ion в Интернете, а затем щелкните "Свойства".
    4. Перейдите на вкладку Дополнительно.
    5. Щелкните, чтобы выбрать команду "Защитить компьютер" или "Сеть", ограничив или запретив доступ к этому компьютеру из проверка Интернета, а затем нажмите кнопку "ОК".

    Примечание. Если вы хотите включить определенные программы и службы для обмена данными через брандмауэр, щелкните Параметры на вкладке "Дополнительно", а затем выберите программы, протоколы и необходимые службы.

  • Клиенты, которые считают, что они были атакованы, должны связаться со своим местным офисом ФБР или опубликовать свою жалобу навеб-сайте Центра жалоб интернет-мошенничества. Клиенты за пределами США должны обращаться к национальному правоохранительному агентству в своей стране.

  • Клиенты в S.S. и Канада, которые считают, что они, возможно, пострадали от этой возможной уязвимости, могут получить техническую поддержку от служб поддержки продуктов Майкрософт в 1-866-PCSAFETY. Плата за поддержку, связанную с проблемами обновления системы безопасности или вирусами, не взимается". Международные клиенты могут получать поддержку с помощью любого из методов, перечисленных на веб-сайте справки по безопасности и поддержке для домашних пользователей.
    Все клиенты должны применять последние обновления системы безопасности, выпущенные корпорацией Майкрософт, чтобы обеспечить защиту своих систем от попытки эксплуатации. Клиенты, которые включили автоматическую Обновления, автоматически получат все обновления Windows. Дополнительные сведения об обновлениях системы безопасности см. на веб-сайте Microsoft Security.

  • Дополнительные сведения о безопасности в Интернете клиенты могут посетитьдомашнюю страницу безопасности Майкрософт.

  • Сохранение Обновл. Windows

    Все пользователи Windows должны применять последние обновления системы безопасности Майкрософт, чтобы убедиться, что их компьютеры защищены как можно больше. Если вы не уверены, обновлено ли ваше программное обеспечение, посетите веб-сайт Обновл. Windows, проверьте компьютер на наличие доступных обновлений и установите все обновления с высоким приоритетом, предлагаемые вам. Если у вас включена автоматическая Обновления, обновления доставляются вам при их выпуске, но их необходимо установить.

Другие сведения

Ресурсы:

  • Вы можете отправить отзыв, выполнив форму, перейдя на следующий веб-сайт.
  • Клиенты в США и Канаде могут получать техническую поддержку от служб поддержки продуктов Майкрософт. Дополнительные сведения о доступных вариантах поддержки см. на веб-сайте справки и поддержки Майкрософт.
  • Международные клиенты могут получать поддержку от своих местных дочерних компаний Майкрософт. Дополнительные сведения о том, как обратиться в Корпорацию Майкрософт за вопросами международной поддержки, посетите веб-сайт международной поддержки.
  • Веб-сайт Microsoft TechNet Security предоставляет дополнительные сведения о безопасности в продуктах Майкрософт.

Отказ от ответственности

Сведения, предоставленные в этом совете, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.

Изменения:

  • Опубликовано 23 июня 2006 г.

Построено в 2014-04-18T13:49:36Z-07:00