Бюллетень по безопасности

Бюллетень по безопасности Майкрософт MS01-059 — критически важный

Не проверка буфер в универсальной самонастраивающийся может привести к компрометации системы

Опубликовано: 20 декабря 2001 г. | Обновлено: 09 мая 2003 г.

Версия: 1.3

Первоначально опубликовано: 20 декабря 2001 г.
Обновлено: 09 мая 2003 г.

Итоги

Кто следует прочитать этот бюллетень:
Клиенты, использующие Microsoft® Windows® ME или XP или установленные клиент общего доступа к Windows XP Internet Подключение ion в Windows 98 или 98SE.

Влияние уязвимости:
Запустите код выбора злоумышленника.

Максимальная оценка серьезности:
Критически важно

Рекомендация.
Корпорация Майкрософт настоятельно призывает всех клиентов Windows XP немедленно применить исправление. Клиенты, использующие Windows 98, 98SE или ME, должны применить исправление, если установлена и запущена поддержка универсальной самонастраивающийся.

Затронутого программного обеспечения:

• Microsoft Windows 98
• Microsoft Windows 98SE
• Microsoft Windows ME
• Microsoft Windows XP

Общие сведения

Технические сведения

Техническое описание:

Универсальная самонастраивающийся (UPnP) позволяет компьютерам обнаруживать и использовать сетевые устройства. Windows ME и XP включают встроенную поддержку UPnP; Windows 98 и 98SE не включают встроенную поддержку UPnP, но ее можно установить через клиент общего доступа к Интернету Подключение ion Share, который поставляется с Windows XP. В этом бюллетене рассматриваются две уязвимости, влияющие на эти реализации UPnP. Хотя уязвимости не связаны, оба связаны с тем, как компьютеры, поддерживающие UPnP, обрабатывают обнаружение новых устройств в сети.

Первая уязвимость — это уязвимость переполнения буфера. В одном из компонентов, обрабатывающих директивы NOTIFY, существует не проверка буфер, который объявляет доступность устройств с поддержкой UPnP в сети. Отправив специально неправильно сформированную директиву NOTIFY, злоумышленник может вызвать выполнение кода в контексте подсистемы UPnP, которая выполняется с правами системы в Windows XP. (В Windows 98 и Windows ME весь код выполняется как часть операционной системы. Это позволит злоумышленнику получить полный контроль над системой.

Второй результат уязвимости, так как реализации UPnP недостаточно ограничивают шаги, к которым они будут переходить, чтобы получить информацию об использовании недавно обнаруженного устройства. В директиве NOTIFY, что новое устройство UPnP отправляет сведения о том, где нужно получить описание устройства, в котором перечислены службы, которые предоставляют и инструкции по использованию устройств. По проектированию описание устройства может находиться на стороннем сервере, а не на самом устройстве. Однако реализации UPnP не регулируют, как она выполняет эту операцию, и это приводит к двум различным сценариям отказа в обслуживании:

• Злоумышленник может отправить директиву NOTIFY на компьютер с поддержкой UPnP, указав, что описание устройства должно быть скачано с определенного порта на определенном сервере. Если сервер был настроен на простое повторение запросов загрузки обратно в службу UPnP (например, при наличии службы эхо, работающей на порту, на который был направлен компьютер), компьютер может быть выполнен для ввода бесконечного цикла загрузки, который может использовать некоторые или все возможности доступности системы. Злоумышленник может создать и отправить эту директиву непосредственно на компьютер жертвы с помощью IP-адреса компьютера. Кроме того, он может отправить эту же директиву в домен широковещательной и многоадресной рассылки и атаковать все затронутые компьютеры в ушном соте, потребляя некоторые или все эти системы доступности.
• Злоумышленник может указать сторонний сервер в качестве узла для описания устройства в директиве NOTIFY. Если достаточно компьютеров ответил на директиву, это может повлиять на наводнение стороннего сервера с фиктивными запросами в распределенной атаке типа "отказ в обслуживании". Как и в первом сценарии, злоумышленник может отправить директивы в жертву напрямую или в широковещательный или многоадресный домен.

Системные администраторы должны учитывать, что исправление представляет новые функциональные возможности, которые позволяют им адаптировать способ обнаружения исправленных систем. Как описано в статье базы знаний Майкрософт Q315056, исправление представляет возможность настроить службу UPnP для скачивания описаний устройств только из локальной подсети, подсети или частной сети, только частной сети или из любого IP-адреса. По умолчанию исправленные системы будут проверка подсеть или частную сеть для описания устройств.

Клиенты, которые не могут установить исправление, могут защитить свои системы, отключив поддержку UPnP, как описано в разделе часто задаваемых вопросов.

Смягчающие факторы:

Общие сведения:

• Корпоративные сети можно защитить от атак через Интернет, выполнив стандартные методики брандмауэра (в частности, блокируя порты 1900 и 5000).
• Домашние сети, использующие общий доступ к Интернету Подключение ion, будут защищены от атак на основе Интернета, так как шлюз Интернета не перенаправит пакеты. Только компьютер шлюза будет подвержен риску.

Windows 98 и 98SE:

• Для этих систем нет собственной поддержки UPnP. Системы Windows 98 и 98SE будут затронуты только в том случае, если клиент общего доступа к Интернету Подключение ion из Windows XP был установлен в системе.
• Компьютеры Windows 98 и 98SE, которые установили клиент общего доступа к Интернету Подключение ion из системы Windows XP, которая уже применила этот исправление, не уязвимы.

Windows ME:

• Windows ME предоставляет встроенную поддержку UPnP, но она не установлена или запущена по умолчанию. (Однако некоторые изготовители оборудования настраивают предварительно созданные системы с установленной и запущенной службой.

Windows XP:

• Брандмауэр интернета Подключение ion, который включен по умолчанию при настройке сетевого подключения к Интернету с помощью одного из системных мастеров, будет защищать от атак с помощью одноадресных сообщений. Это делает атаки возможными только через широковещательную или многоадресную рассылку, что, как правило, требует, чтобы злоумышленник был расположен в том же сегменте сети, что и уязвимая система.

Оценка серьезности:

Переполнение буфера:

	Интернет-серверы	Серверы интрасети	Клиентские системы
Windows 98, 98SE	нет	нет	Умеренно
Windows ME	нет	нет	Умеренно
Windows XP	нет	нет	Критически важно

Уязвимость типа "отказ в обслуживании":

	Интернет-серверы	Серверы интрасети	Клиентские системы
Windows 98, 98SE	нет	нет	Умеренно
Windows ME	нет	нет	Умеренно
Windows XP	нет	нет	Умеренно

Агрегированная степень серьезности всех уязвимостей, устраненных исправлением:

	Интернет-серверы	Серверы интрасети	Клиентские системы
Windows 98, 98SE	нет	нет	Умеренно
Windows ME	нет	нет	Умеренно
Windows XP	нет	нет	Критически важно

Приведенная выше оценка основана на типах систем, пострадавших от уязвимости, их типичных шаблонах развертывания, а также на последствиях использования уязвимости. Критически важное значение для Windows XP выше, чем для Windows 98, 98SE и ME, так как только Windows XP уязвим в его состоянии по умолчанию.

Идентификатор уязвимости:

• Буфер Overun:CAN-2001-0876
• Отказ в обслуживании:CAN-2001-0877

Проверенные версии:

Корпорация Майкрософт проверила Windows ME, Windows NT 4.0, Windows 2000 и Windows XP и службу UPnP, которая может быть установлена в Windows 98 и 98SE, чтобы оценить, влияют ли они на эти уязвимости. Предыдущие версии больше не поддерживаются и могут не влиять на эту уязвимость.

Часто задаваемые вопросы

Какие уязвимости рассматриваются в этом бюллетене?
В этом бюллетене рассматриваются две уязвимости, которые влияют на подсистему универсального самонастраивающийся в Windows 98, Windows 98SE, Windows ME и Windows XP.

Что такое универсальная самонастраивающийся?
Универсальная самонастраивающийся (UPnP) — это возможность, которая позволяет устройствам в сети обнаруживать другие устройства и определять, как работать с ними. UPnP проще всего понимать по сравнению с возможностями plug-and-play (PnP), с которыми уже знакомы большинство пользователей Windows. PnP позволяет операционной системе обнаруживать новое оборудование при его установке в системе. Например, если вы устанавливаете на компьютер новую мышь, PnP позволяет Windows обнаруживать его, загружать необходимые драйверы и начинать использовать его. UPnP расширяет эту концепцию на устройствах в сети, а не на локальной системе. UPnP позволяет компьютерам узнать о других устройствах в сети и определить, как их использовать. Например, компьютер может использовать UPnP для обнаружения наличия принтеров в сети, которые он может использовать, и узнать, как их использовать.

Какие операционные системы поддерживают UPnP?

• Ни Windows 98, ни Windows 98SE не включают собственную функцию UPnP. Его можно добавить только путем установки клиентского программного обеспечения для общего доступа к Интернету Подключение ion (ICS), предоставленного в Windows XP.
• Windows ME включает собственную функцию UPnP, но она не установлена и не запущена по умолчанию.
• Ни Windows NT 4.0, ни Windows 2000 не поддерживают UPnP.
• Windows XP включает собственные возможности UPnP. Он установлен и запущен по умолчанию.

Имеют ли уязвимости что-либо общего, кроме того, что они включают UPnP?
Да. Оба связаны с проблемами в том, как подсистема UPnP выполняет обнаружение устройств.

Что такое обнаружение устройств UPnP и как это работает?
Обнаружение устройств — это процесс, с помощью которого компьютеры, поддерживающие UPnP, знают о доступности устройств, которые они могут использовать, и узнайте, как запрашивать службы от них. При загрузке компьютера, поддерживающего UPnP, возможно, уже есть устройства в сети, которые он может использовать. Чтобы определить, является ли это делом, компьютер отправляет широковещательный запрос (называется директивой M-SEARCH), запрашивая, что любое устройство, поддерживающее UPnP, в ушном ушах, отвечает непосредственно на него и предоставляет сведения об использовании. Аналогичным образом, когда устройство, поддерживающее UPnP (например, принтер, поддерживающий UPnP), уже может быть компьютеров с поддержкой UPnP в сети, которые хотели бы использовать его. Устройство передает сообщение (называемое директивой NOTIFY) на все компьютеры в ушном ушном мешках, объявляя о своем присутствии в сети и приглашая компьютеры использовать свои службы.

Предположим, что компьютер с поддержкой UPnP узнает, что доступно определенное устройство. Как узнать, как его использовать?
Компьютер проверка, чтобы узнать, зарегистрированы ли какие-либо приложения в типе устройства, о которых он узнал. Если у него есть, компьютер обращается к сведениям, отправленным устройством, который будет содержать URL-адрес, из которого описано устройство — список служб, предлагаемых устройством, и инструкции о том, как запросить их, можно скачать. Затем компьютер скачивает описание устройства и может начать работу с устройством.

Какие уязвимости влияют на службу UPnP?
Существует две уязвимости:

• Первая уязвимость может позволить злоумышленнику получить полный контроль над затронутой системой.
• Вторая уязвимость может позволить злоумышленнику либо запретить затронутой системе предоставлять полезную службу, либо использовать несколько систем пользователей в распределенной атаке типа "отказ в обслуживании" в одном целевом объекте.

Что такое область первой уязвимости?
Эта уязвимость переполнения буфера. Злоумышленник, который успешно воспользовался этой уязвимостью, может получить полный контроль над затронутой системой. Очевидно, что это серьезная уязвимость, и мы настоятельно рекомендуем клиентам немедленно применить исправление.

Что вызывает уязвимость?
Уязвимость приводит к тому, что одна из компонентов Windows XP, Windows ME, Windows 98 и Windows 98SE UPnP содержит не проверка изованный буфер, который может быть перезапущен с помощью специально неправильно сформированной директивы UPnP NOTIFY.

Что не так, как подсистема UPnP обрабатывает директивы NOTIFY?
Один из компонентов в этих реализациях, участвующих в обработке директив NOTIFY, содержит не проверка изованный буфер. Если подсистема UPnP получила директиву NOTIFY, которая неправильно сформирована определенным способом, это приведет к перезапуску буфера с данными из директивы NOTIFY. Если эти данные были тщательно выбраны, это приведет к изменению операции подсистемы UPnP во время ее выполнения.

Что бы это позволило злоумышленнику сделать?
Злоумышленник, который успешно воспользовался этой уязвимостью, может изменить подсистему UPnP для выполнения любой требуемой задачи. Так как подсистема UPnP выполняется в составе операционной системы, это даст злоумышленнику полный контроль над системой.

Как злоумышленник может использовать уязвимость?
Злоумышленник может использовать уязвимость, создав директиву NOTIFY с необходимой неправильной формацией и отправив ее на другие компьютеры в сети.

Как злоумышленник отправит директиву NOTIFY на другие компьютеры?
Директива NOTIFY может быть отправлена как одноадресное сообщение (т. е. одноадресное сообщение, которое отправляется непосредственно на определенный компьютер), либо как многоадресная рассылка или широковещательная передача (т. е. широковещательная передача в группу компьютеров). Конкретный тип, выбранный злоумышленником, будет важен. Форма одноадресной рассылки позволит злоумышленнику больше достичь, но за счет необходимости знать больше информации о целевом объекте. В отличие от этого, многоадресная форма позволит злоумышленнику скомпрометировать несколько компьютеров, не зная много о них, но за счет ограничения область атаки на компьютеры на том же сетевом сегменте, что и злоумышленник.

Как будет работать атака через одноадресное сообщение NOTIFY?
В сценарии одноадресной рассылки злоумышленник отправляет сообщение NOTIFY непосредственно на другой компьютер, как будто в ответ на директиву M-SEARCH с компьютера. Преимуществом использования одноадресного сообщения является то, что злоумышленник сможет атаковать любой компьютер, которому он может доставить сообщение NOTIFY. Злоумышленник может компрометации компьютеров на большом расстоянии с помощью одноадресных сообщений. Недостатком является то, что злоумышленнику потребуется знать IP-адрес целевого объекта. Большинство сетей используют протокол конфигурации динамических узлов (DHCP) для управления пулом IP-адресов и, в результате, IP-адрес конкретного компьютера может меняться довольно часто. Хотя, безусловно, можно узнать IP-адрес компьютера, он может потребовать существенной работы в зависимости от обстоятельств.

Как будет работать атака через многоадресную рассылку или широковещательное сообщение NOTIFY?
В сценариях многоадресной рассылки или трансляции злоумышленник отправит сообщение NOTIFY на многоадресный или широковещательный адрес, как будто с нового устройства с поддержкой UPnP. Преимущество использования этих сообщений заключается в том, что злоумышленнику не нужно знать IP-адрес любого другого компьютера и может скомпрометировать большое количество компьютеров с одной атакой. Недостатком злоумышленника является то, что большинство маршрутизаторов и брандмауэров не перенаправляют многоадресные и широковещательные сообщения. (Чтобы понять, почему, рассмотрим, что произойдет, если они перенаправили их - каждая многоадресная рассылка или широковещательная передача с любого компьютера в мире будет доставлена на любой другой компьютер в мире, и Интернет быстро станет болотом с данными). В результате атаки через многоадресную рассылку или широковещательную рассылку обычно будут эффективными только в сетевом сегменте злоумышленника или подсети.

Означает ли это, что уязвимость не является серьезной?
Напротив, это очень серьезно. В подсети может быть сотни компьютеров, и эта уязвимость позволит злоумышленнику получить полный контроль над всеми компьютерами с помощью одной директивы NOTIFY. Мы настоятельно призываем клиентов немедленно применить исправление.

Защитит ли корпоративный брандмауэр от атак из Интернета?
Да. Большинство корпоративных брандмауэров блокируют как многоадресные сообщения, так и неопрошенные одноадресные сообщения. Кроме того, блокировка портов 1900 и 5000 помогает защититься от атак на основе Интернета.

Защита компьютеров Windows XP от этой уязвимости в Брандмауэре Интернета Подключение ion?
Брандмауэр интернета Подключение ion (ICF) блокирует неопрошенные сообщения одноадресной рассылки, поэтому он защищает систему Windows XP от атаки, подключенной с помощью одноадресной рассылки. Это не обеспечит общую защиту — ICF не блокирует многоадресную рассылку или широковещательную рассылку, но значительно снижает риск для пользователей Windows XP. Как упоминалось выше, одноадресные сообщения можно отправлять на большие расстояния, где многоадресная рассылка и широковещательная передача обычно не могут. Это означает, что для пользователей Windows XP злоумышленник, скорее всего, должен находиться в том же сегменте сети, чтобы использовать уязвимость.

Включена ли функция ICF по умолчанию в Windows XP?
Как правило, ICF автоматически включается в любой момент, когда мастер используется для создания сетевого подключения к Интернету. Например, ICF включен во всех следующих сценариях:

• Если система Windows XP использует узел общего доступа к Интернету Подключение ion.
• При создании подключения к Интернету с помощью мастера создания Подключение ion.
• При обнаружении подключения к Интернету в мастере настройки сети.
• При создании или определении подключения к Интернету в мастере приветствия в Windows.

ICF не включен по умолчанию в таких случаях, как показано ниже.

• Если пользователь решит вручную создать сетевое подключение. В таком случае все сетевые параметры, включая ICF, должны быть включены или отключены вручную.
• Если подключение не подключается напрямую к Интернету, например, если это подключение к локальной сети. В таких случаях обычно брандмауэр защищает всю сеть.
• Если система была обновлена с предыдущей версии Windows и уже имела существующее подключение к Интернету. В этом случае ICF можно включить вручную.

Дополнительные сведения о работе ICF и условиях, в которых она включена по умолчанию, см. в разделе "Обзор функций брандмауэра для интернета Подключение ion".

У меня есть домашняя сеть, которая использует доступ к Интернету Подключение ion Для подключения к Интернету. Может ли кто-то на Интернет атаковать компьютеры в внутренней части моей сети?
№ Шлюз общего доступа к Интернету Подключение ion не перенаправлял сообщения NOTIFY независимо от того, отправляются ли они одноадресной рассылкой, многоадресной рассылкой или широковещательной рассылкой. Это означает, что злоумышленник, основанный в Интернете, не может использовать уязвимость в системах внутри сети. Он мог бы, однако, воспользоваться уязвимостью в системе шлюза.

Как узнать, требуется ли исправление?
Для Windows XP, 98 и 98SE довольно легко определить, требуется ли исправление:

• Если вы используете Windows XP, вам потребуется исправление. Все системы Windows XP уязвимы в их конфигурациях по умолчанию.
• Если вы используете Windows 98 или Windows 98SE, вам потребуется только исправление, если вы установили клиентское программное обеспечение для общего доступа к Интернету Подключение ion.

Для Windows ME это немного сложнее. Windows ME содержит подсистему UPnP, но по умолчанию она не выполняется. Однако некоторые производители оборудования включите его в предварительно настроенных системах. Чтобы определить, запущена ли подсистема UPnP, выполните следующие действия.

1. Нажмите кнопку "Пуск", Параметры и выберите панель управления.
2. Выберите "Добавить и удалить программы".
3. Выберите вкладку с заголовком "Настройка Windows".
4. В поле "Компоненты" выберите "Связь", а затем "Сведения".
5. Прокрутите вниз и убедитесь, что поле слева от универсальной самонастраивающийся проверка. Если это так, вам потребуется исправление; Если это не так, вы этого не сделали.

Что делает исправление?
Исправление устраняет уязвимость, введя правильную обработку буфера в реализации Windows XP, Windows ME, Windows 98 и Windows 98SE UPnP.

Если не удается установить исправление, можно ли защитить систему другим способом?
Да. Вы можете защитить систему, отключив функцию UPnP. Однако перед этим следует понять, что это повлияет на то, как работают определенные системные функции. В частности, отключение UPnP в Windows XP повлияет на работу функции общего доступа к Интернету Подключение ion (ICS), что позволяет нескольким компьютерам Windows совместно использовать одно подключение через систему Windows XP к Интернету. Если возможность UPnP отключена, клиенты ICS не смогут автоматически обнаруживать шлюз Интернета, и вам потребуется вручную настроить сведения о шлюзе в каждой клиентской системе. Вот как отключить функцию UPnP: Windows XP:

1. Войдите с помощью учетной записи с правами администратора.
2. Нажмите кнопку "Пуск", а затем щелкните правой кнопкой мыши мой компьютер и выберите "Управление".
3. В области слева щелкните "+" рядом со службами и приложениями, а затем щелкните "Службы".
4. В правой области щелкните правой кнопкой мыши службу обнаружения SSDP и выберите "Свойства".
5. В раскрывающемся списке под названием "Тип запуска" выберите "Отключено".
6. В разделе "Состояние службы" диалогового окна нажмите кнопку "Остановить".
7. Нажмите кнопку "ОК", чтобы выйти из диалога, а затем закройте окно управления компьютером.

Windows ME:

1. Нажмите кнопку "Пуск", Параметры и выберите панель управления.
2. Выберите "Добавить и удалить программы".
3. Выберите вкладку с заголовком "Настройка Windows".
4. В поле "Компоненты" выберите "Связь", а затем "Сведения".
5. Un проверка поле для универсального самонастраивающийся.
6. Нажмите кнопку "ОК", чтобы выйти из диалога, а затем закройте диалог настройки Windows.
7. Перезагрузите компьютер.

Windows 98 или 98SE:

1. Нажмите кнопку "Пуск", Параметры и выберите панель управления.
2. Выберите "Добавить и удалить программы".
3. Выберите вкладку с заголовком "Настройка Windows".
4. В поле "Компоненты" выберите "Связь", а затем "Сведения".
5. Un проверка поле для универсального самонастраивающийся.
6. Нажмите кнопку "ОК", чтобы выйти из диалога, а затем закройте диалог настройки Windows.
7. Перезагрузите компьютер.

В приведенных выше инструкциях Windows XP вы сказали отключить службу обнаружения SSDP, но я вижу службу "Узел устройства UPnP". Следует ли также отключить эту службу?
№ Несмотря на его имя, служба узла устройств UPnP не связана каким-либо образом с этой уязвимостью, и ее не нужно отключить. Служба узла устройств UPnP позволяет другим службам Windows XP объявлять себя как будто они были устройствами UPnP и не участвуют в любом случае с тем, как система обрабатывает фактические устройства UPnP.

Если установить исправление в системе Windows XP, а затем использовать ее для установки клиентского программного обеспечения для общего доступа к Интернету Подключение ion в системе Windows 98, 98SE или ME, необходимо ли применить к нему исправление?
Существует два способа установки клиента Подключение ion Sharing (ICS), а ответ зависит от выбранного метода. Один из способов — создать диск мастера настройки сети в системе Windows XP, а затем использовать флоппи для установки клиента ICS в так называемой системе нижнего уровня (например, под управлением Windows 98, 98SE или ME). Если вы используете этот метод, и система Windows XP, на которой вы создаете диск floppy, уже имеет исправление, вам не нужно исправлять систему нижнего уровня. Мастер установки сети установит версию ICS, которая уже имеет исправление. С другой стороны, если вы создаете флоппи в системе Windows XP, у вас нет исправления, вам потребуется исправить систему нижнего уровня после установки ICS. (Конечно, следует также исправить систему Windows XP. Другой способ установки клиента ICS в системе нижнего уровня заключается в том, что он устанавливается непосредственно из компакт-диска Windows XP. При использовании этого метода необходимо установить исправление в системе нижнего уровня.

Я пытался установить исправление в моей системе Windows 98, но исправление отображало сообщение о том, что он не предназначен для моей версии Windows. Что произошло? Я дважды проверка, что я установил windows 98 версии исправления. Исправление для Windows 98 и 98SE будет устанавливаться только в том случае, если клиент ICS присутствует в системе, так как это единственное средство, с помощью которого можно добавить функцию UPnP в систему. Сообщение, которое вы видели, означает, что клиент ICS отсутствует в системе, и исправление поэтому не требуется.

Что такое область второй уязвимости?
Вторая уязвимость — это уязвимость атак типа "отказ в обслуживании". Его можно использовать двумя способами— он может использоваться либо в атаке, которая будет включать только один компьютер, и замедлит или остановит его производительность, либо его можно было бы использовать в распределенной атаке типа "отказ в обслуживании", в которой злоумышленник будет направлять несколько компьютеров для объединения сил против другого компьютера и заболочить его данными. Эта уязвимость не могла быть использована для получения административного контроля над системой- его единственное использование будет препятствовать усилиям законного пользователя использовать его.

Что вызывает уязвимость?
Эта уязвимость приводит к тому, что реализации UPnP в Windows 98, Windows 98SE, Windows ME и Windows XP не применяют достаточно ограничений для процесса, который они следуют при скачивании описания устройства для устройства с поддержкой UPnP.

В каком процессе компьютеры находят и загружают описания устройств?
Когда компьютер с поддержкой UPnP получает директиву NOTIFY, он проверка, чтобы узнать, зарегистрировано ли приложение в типе устройства, отправляющего уведомление. Если у него есть, компьютер обращается к директиве NOTIFY, содержащей адрес компьютера и номер порта, с которого можно скачать описание устройства. Затем компьютер обращается к указанному компьютеру и запрашивает описание устройства.

Что не так, как подсистема UPnP обрабатывает описания устройств?
Существует две проблемы. Во-первых, подсистема не ограничивает размер скачиваемых описаний устройства, а также не проверка, чтобы узнать, действительно ли данные, которые якобы является допустимым описанием устройства. Во-вторых, подсистема не выполняет надлежащие действия, чтобы убедиться, что компьютер, на который он был направлен, фактически является сайтом скачивания для описания устройств.

Какую первую проблему позволит злоумышленнику сделать?
Первая проблема может позволить злоумышленнику отправить систему пользователя на нефиксный сайт скачивания исключительно для замедления или остановки системы пользователя.

Как злоумышленник выполнит такую атаку?
Существует множество вариантов, которые можно использовать, но вот довольно простой сценарий, иллюстрирующий одну возможную атаку. Предположим, что злоумышленник знал о сервере, на котором запущена служба Chargen. Плата — это стандартная служба TCP/IP, которая просто создает поток данных всякий раз, когда система подключается к ней, и это не редкость для поиска серверов с оплатой. Конечно, если бы не было такого сервера удобно, злоумышленник может настроить один. Злоумышленник может отправить директиву NOTIFY в систему пользователя, рекламируя новое устройство, поддерживающее UPnP, и направлять систему для подключения к серверу Chargen. Система пользователя отправит запрос на скачивание на сервер, который создаст случайные данные в ответ на запрос. Служба UPnP интерпретирует это как часть описания устройства и позволяет скачать бесконечно, потребляя ресурсы обработки и дисковое пространство в системе пользователя.

Приведет ли атака к полной остановке системы пользователя?
Последствия атаки будут сильно зависеть от особенностей сценария, включая относительную мощность обработки и доступность двух систем, пропускную способность сети между ними и другие факторы. В лучшем случае атака может замедлить производительность системы; В худшем случае это может потреблять практически все ресурсы в системе, предотвращая выполнение любой полезной работы.

Как пользователь может возобновить обычную службу?
Пользователь может восстановить обычную службу, остановив и перезагрузив службу, которая управляет обработкой описаний устройств, службой обнаружения SSDP

Какая вторая проблема позволит злоумышленнику сделать?
Вторая проблема позволит атаке, которая, по сути, является обратной атакой, описанной выше. Вместо того, чтобы замедлить систему пользователя, вторая проблема может позволить злоумышленнику объединить несколько систем, поддерживающих UPnP, в распределенном атаке типа "отказ в обслуживании", которая будет использовать все ресурсы в одной сторонней системе.

Как эта атака будет работать?
Как и в приведенном выше случае, существует множество способов воздействия на атаку, но одна простая атака будет включать отправку команд NOTIFY на многие компьютеры с поддержкой UPnP, направив их всем, чтобы связаться со сторонним сервером для описания устройства. Если были задействованы достаточно компьютеров, объем запросов на скачивание может потенциально замедлить производительность стороннего сервера или, возможно, заболеть его полностью.

Будет ли либо атака позволить злоумышленнику делать что-нибудь больше, чем запретить службу кому-то?
№ Ни один из этих атак не позволит злоумышленнику получить любой вид административного контроля над компьютерами или компрометировать данные о них. Оба могут использоваться только для атак типа "отказ в обслуживании".

Могут ли эти атаки, как и те, в первой уязвимости, инициироваться с помощью одноадресной рассылки, многоадресной рассылки и трансляции?
Да. Как описано выше, атаки можно инициировать с помощью одноадресной рассылки, многоадресной рассылки или директив NOTIFY. Все те же плюсы и минусы будут применяться в этом случае: злоумышленник может использовать одноадресные сообщения для получения большего доступа, но за счет необходимости знать IP-адрес целевого компьютера; или может использовать многоадресную рассылку или широковещательные сообщения для атак на несколько компьютеров без необходимости знать их IP-адреса, за счет ограничения атаки на компьютеры в том же сегменте сети, что и злоумышленник.

Как исправление предотвращает первую проблему?
Исправление предотвращает первую проблему, ограничив данные, которые будут приняты в качестве описания устройства. Исправление устанавливает максимальный размер описаний устройств; Если описание устройства превышает этот размер, подсистема UPnP останавливает скачивание. Она также приводит к тому, что подсистема проверка данных по мере его прибытия и останавливает загрузку, если данные не являются допустимыми для описания устройства.

Как исправление предотвращает вторую проблему?
Исправление устраняет вторую проблему, ограничив, где подсистема UPnP будет искать описания устройств. Исправление приводит к тому, что оно проверка расположение, указанное в сообщении NOTIFY для описания устройства, и продолжить загрузку только в том случае, если это расположение проходит несколько тестов. Подсистема UPnP проверка расположение скачивания, прежде чем пытаться скачать описание устройства. По умолчанию исправленная система будет загружать только описание устройства, которое находится на компьютере в той же подсети или диапазоне частных адресов. Подсистема также проверка, чтобы узнать, сколько прыжков маршрутизатора требуется для достижения расположения, и только продолжается, если это число достаточно мало. По умолчанию исправленная система будет скачивать только описание устройства, если компьютер, на котором он размещен, находится четыре или меньше прыжков. Оба этих параметра настраиваются, как описано в статье базы знаний Майкрософт Q315056. Кроме того, исправление представляет механизм задержки для упрощения использования сети. Исправленные системы будут загружать описания устройств по разным тарифам в зависимости от того, насколько далеко расположение скачивания. Скачивание расположений, которые находятся в общедоступной сети, например в Интернете, загружаются медленнее, чтобы ограничить требования, размещенные на них. Аналогичным образом, каждый раз, когда система сталкивается с ошибками при скачивании описания устройства, она увеличивает время ожидания перед повтором.

Если не удается установить исправление, можно ли защитить эту уязвимость, отключив поддержку UPnP?
Да. Ниже приведены инструкции по отключению поддержки UPnP.

Доступность исправлений

Скачивание расположений для этого исправления

• Microsoft Windows 98/98SE:
  https://www.windowsupdate.com

  Or

  https://www.microsoft.com/download/details.aspx?FamilyId=4F1C2546-9CF8-413D-866F-DD1E5A2D7454& displaylang;=en

• Microsoft Windows ME:
  https://www.windowsupdate.com

  Or

  https://download.microsoft.com/download/winme/Update/22940/WinMe/EN-US/314757USAM.EXE

• Microsoft Windows XP:
  https://www.windowsupdate.com

  Or

  https://www.microsoft.com/download/details.aspx?FamilyId=D17CBEB5-7478-4147-B4BA-E6CF686A352B& displaylang;=en

Дополнительные сведения об этом исправлении

Платформы установки:

• Исправление для Windows 98 и 98SE можно установить в любой системе Windows 98 или 98SE, в которой установлен клиент общего доступа к Интернету Windows XP Подключение ion.
• Исправление для Windows ME можно установить в системах под управлением Windows ME Gold.
• Исправление для Windows XP можно установить в системах под управлением Windows XP Gold.

Включение в будущие пакеты обновления:

• Для Windows 98, 98SE или ME не планируется никаких будущих пакетов обновления.
• Исправление этой проблемы будет включено в пакет обновления 1 (SP1) Для Windows XP.

Требуется перезагрузка: Да

Замененные исправления:MS01-054

Проверка установки исправлений:

Windows 98 и 98SE:

• Чтобы убедиться, что исправление установлено на компьютере, нажмите кнопку "Пуск", а затем запустите служебную программу QFECheck. Если установлено исправление, в списке установленных исправлений будет указан элемент "Windows 98 Q314941 Update".
• Чтобы проверить отдельные файлы, используйте манифест файла, предоставленный в статье базы знаний Q314941.

Windows ME:

• Чтобы убедиться, что исправление установлено на компьютере, нажмите кнопку "Пуск", а затем запустите служебную программу QFECheck. Если установлено исправление, то в списке установленных исправлений будет указана версия Windows Millennium Edition Q314757 Update.
• Чтобы проверить отдельные файлы, используйте манифест файла, указанный в статье базы знаний Q314757.

Windows XP:

• Чтобы убедиться, что исправление установлено на компьютере, убедитесь, что на компьютере создан следующий раздел реестра:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Обновления\Windows XP\SP1\Q315000.
• Чтобы проверить отдельные файлы, используйте сведения о дате и времени и версии, указанные в следующем разделе реестра:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Обновления\Windows XP\SP1\Q315000\Filelist.

Предостережения:

нет

Локализация:

Локализованные версии этого исправления находятся в процессе разработки. По завершении они будут доступны в расположениях, рассмотренных в разделе "Получение других исправлений безопасности".

Получение других исправлений для системы безопасности:

Исправления для других проблем безопасности доступны из следующих расположений:

• Исправления безопасности доступны в Центре загрузки Майкрософт, и их можно найти, выполнив ключевое слово поиск по запросу "security_patch".
• Исправления для потребительских платформ доступны на веб-сайте WindowsUpdate .

Другие сведения:

Подтверждения

Корпорация Майкрософт благодарит eEye Digital Security (https://www.eeye.com) за предоставление нам отчетов об этой проблеме и работу с нами для защиты клиентов.

Поддержка.

• Статьи базы знаний Майкрософт Q314757, Q314941, Q315000 и Q315056 обсудить эту проблему и будут доступны примерно через 24 часа после выпуска этого бюллетеня. Статьи базы знаний можно найти на веб-сайте поддержки Microsoft Online .
• Техническая поддержка доступна в службах поддержки продуктов Майкрософт. Плата за вызовы поддержки, связанные с исправлениями безопасности, не взимается.

Ресурсы безопасности:веб-сайт Microsoft TechNet Security предоставляет дополнительные сведения о безопасности в продуктах Майкрософт.

Отказ от ответственности

Сведения, предоставленные в Базе знаний Майкрософт, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.

Изменения:

• Версия 1.0 (20 декабря 2001 г.): бюллетень создан.
• Версия 1.1 (26 декабря 2001 г.): Дополнительные сведения о том, как исправление устраняет сценарии отказа в обслуживании.
• Версия 1.2 (31 декабря 2001 г.): бюллетень обновлен для предоставления дополнительных смягчающих факторов (ICF действует в отношении одноадресных атак, и ICS защищает компьютеры в внутренних домашних сетях) и предоставить сведения об отключении поддержки UPnP.
• Версия 1.3 (09 мая 2003 г.): обновлены ссылки скачивания на Обновл. Windows.

Построено в 2014-04-18T13:49:36Z-07:00