安全公告
Microsoft 安全咨询899588
即插即用中的漏洞可能导致远程代码执行和特权提升
发布时间: 2005 年 8 月 11 日 |更新时间:2005 年 8 月 17 日
Zotob 是一种针对基于 Windows 2000 的计算机的蠕虫,并利用 Microsoft 安全公告 MS05-039 解决的安全问题。 此蠕虫及其变体安装恶意软件,然后搜索其他计算机感染。
如果已安装随安全公告 MS05-039 发布的更新,则已受到 Zotob 及其变体的保护。 如果使用 Windows 2000 以外的任何受支持的 Windows 版本,则 Zotob 及其变体不会面临风险。 作为软件安全事件响应过程的一部分,我们的调查确定只有少数客户受到影响,Microsoft 安全专业人员直接与他们合作。 我们没有看到对互联网产生广泛影响的迹象。 相信他们遭到攻击的客户应该联系当地联邦调查局办公室,或在互联网欺诈投诉中心网站上发布投诉。 美国以外的客户应与其国家执法机构联系。
有关这些蠕虫的详细信息,若要帮助确定你是否感染了这些蠕虫,以及有关如何修复系统(如果感染了这些蠕虫)的说明,请参阅 Zotob 安全事件网站 或 Microsoft 病毒百科全书。 有关 Microsoft 病毒百科全书参考,请参阅“概述”部分。 还可以使用 Microsoft Windows 恶意软件删除工具 从硬盘驱动器中搜索和删除 Zotob 蠕虫及其变体。
其他版本的 Windows(包括 Windows XP Service Pack 2 和 Windows Server 2003)不受 Worm:Win32/Zotob.A 的影响,其变体和类似的蠕虫试图利用 Windows 即插即用 漏洞,除非它们已被其他恶意软件入侵。 客户可以通过立即安装 Microsoft 安全公告 MS05-039 提供的安全更新来防范尝试利用此漏洞的攻击。 以下网站提供了 MS05-039 安全公告。
微软对某些安全研究人员违反了一些普遍接受的行业做法,即扣留漏洞数据,如此接近更新发布并发布了攻击代码,可能会损害计算机用户。 我们继续敦促安全研究人员负责任地披露漏洞信息,并允许客户花时间部署更新,这样他们就不会帮助罪犯利用软件漏洞。
缓解因素:
- Windows 2000 系统主要面临此漏洞的风险。 安装了 MS05-039 安全更新的 Windows 2000 客户不受此漏洞的影响。 如果管理员通过将 RestrictAnonymous 注册表项的默认设置更改为值 2 来禁用匿名连接,则 Windows 2000 系统不会受到匿名用户的远程攻击。 但是,由于应用程序兼容性风险较大,我们不建议客户在生产环境中启用此设置,而无需首先在其环境中广泛测试设置。 有关详细信息,请在 Microsoft 帮助和支持网站上搜索 RestrictAnonymous。
- 虽然不是这些攻击的当前目标,但请务必注意,在 Windows XP Service Pack 2 和 Windows Server 2003 上,攻击者必须具有有效的登录凭据,并且能够在本地登录以利用此漏洞。 匿名用户或 Windows XP Service Pack 2 或 Windows Server 2003 上具有标准用户帐户的用户无法远程利用该漏洞。 这是因为直接内置于受影响组件中的增强安全性。 即使管理员通过更改 RestrictAnonymous 注册表项的默认设置启用了匿名连接,Windows XP Service Pack 2 和 Windows Server 2003 也不会受到匿名用户或具有标准用户帐户的用户远程攻击。 但是,受影响的组件可远程提供给具有管理权限的用户。
- 虽然不是这些攻击的当前目标,但请务必注意,在 Windows XP Service Pack 1 上,攻击者必须具有有效的登录凭据才能尝试利用此漏洞。 匿名用户无法远程利用该漏洞。 但是,受影响的组件可远程提供给在 Windows XP Service Pack 1 上具有标准用户帐户的用户。 现有攻击并非旨在提供利用此问题在这些操作系统上所需的身份验证。 即使管理员通过更改 RestrictAnonymous 注册表项的默认设置启用了匿名连接,Windows XP Service Pack 1 系统也不会受到匿名用户的远程攻击。
- 此问题不会影响 Windows 98、Windows 98 标准版或 Windows Millennium Edition。
常规信息
概述
咨询目的: 通知活动客户攻击和安全更新的可用性,以帮助防范此潜在威胁。
公告状态: 已发布公告。 由于此问题已作为 MS05-039 安全公告的一部分解决,因此无需进行其他更新。
建议:客户应使用 Microsoft Windows 恶意软件删除工具检查并删除 Zotob 感染并安装 MS05-039 安全更新,以帮助防范此漏洞。
| 参考 | 标识 |
|---|---|
| 漏洞引用 | |
| CVE 参考 | CAN-2005-1983 |
| 安全公告 | MS05-039 |
| 攻击和蠕虫详细信息 | |
| Zotob 安全事件 | 网站 |
| 恶意软件删除工具 | 网站 |
| Microsoft 病毒百科全书 | 蠕虫:Win32/Zotob.A, Worm:Win32/Zotob.B、Worm:Win32/Zotob.C、Worm:Win32/Zotob.D、Worm:Win32/Zotob.eWorm:Win32/Esbot.A、Worm:Win32/Rbot.MA、Worm:Win32/Rbot.MB、Worm:Win32/Rbot.MC、Bobax.O |
| Symantec | W32。Zotob.A,W32。Zotob.B,W32。Zotob.D、W32。Zotob.E,W32.Zotob.G |
| F-Secure | Zotob.A、Zotob.B、Zotob.C、Bozori.A、Bozori.B、Bozori.C |
| McAfee | W32/Zotob.worm,W32/Zotob.worm.b, W32/Zotob.worm.c, W32/Bozori.worm.b, W32/IRCbot.worm!MS05-039,W32/Sdbot.worm!MS05-039,W32/Sdbot.worm!51326 |
请注意 ,此公告不会针对将来的变体进行更新,除非它们与现有版本存在重大差异。
此公告讨论以下软件。
| 相关软件 |
| Microsoft Windows 2000 Service Pack 4 |
| Microsoft Windows XP Service Pack 1 |
| Microsoft Windows XP 64 位版 Service Pack 1 (Itanium) |
| Microsoft Windows XP Service Pack 2 |
| Microsoft Windows XP 64 位版本 2003 (Itanium) |
| Microsoft Windows XP Professional x64 版本 |
| Microsoft Windows Server 2003 |
| 适用于基于 Itanium 的系统的 Microsoft Windows Server 2003 |
| Microsoft Windows Server 2003 Service Pack 1 |
| 适用于基于 Itanium 的系统的 Microsoft Windows Server 2003 SP1 |
| Microsoft Windows Server 2003 x64 版本 |
| Microsoft Windows 98、Microsoft Windows 98 Second Edition (标准版) 和 Microsoft Windows Millennium Edition (ME) |
常见问题
公告的范围是什么?
Zotob 是一种针对基于 Windows 2000 的计算机的蠕虫,并利用 Microsoft 安全公告 MS05-039 解决的安全问题。 此蠕虫及其变体安装恶意软件,然后搜索其他计算机感染。如果已安装随安全公告 MS05-039 发布的更新,则已受到 Zotob 及其变体的保护。 如果使用 Windows 2000 以外的任何受支持的 Windows 版本,则 Zotob 及其变体不会面临风险。
这是要求 Microsoft 发出其他安全更新的安全漏洞吗?
否。 安装了 MS05-039 安全更新的客户不受此漏洞的影响。
造成此威胁的原因是什么?
即插即用服务中的未检查缓冲区。 有关更多漏洞详细信息,请参阅安全公告 MS05-039 。
攻击者可能使用此函数执行哪些操作?
成功利用此漏洞的攻击者可以完全控制受影响的系统。 然后,攻击者可能会安装程序、查看更改项或删除数据,还可能会使用完全用户权限创建新的帐户。
建议的操作
检查并删除 Zotob 感染。
可以使用 Microsoft Windows 恶意软件删除工具 从硬盘驱动器中搜索和删除 Zotob 蠕虫及其变体。
客户应安装MS05-039安全更新,以帮助防范此漏洞。
Windows 2000 系统主要面临此漏洞的风险。 安装了 MS05-039 安全更新的客户不受此漏洞的影响。
相信他们遭到攻击的客户应该联系当地联邦调查局办公室,或在互联网欺诈投诉中心网站上发布投诉。 美国以外的客户应与其国家执法机构联系。
美国和加拿大的客户认为他们可能受此漏洞影响,他们可从 1-866-PCSAFETY 获得 Microsoft 产品支持服务的技术支持。 不支持与安全更新问题或病毒相关的支持。国际客户可以使用安全帮助和支持家庭用户网站中列出的任何方法接收支持。 所有客户都应应用 Microsoft 发布的最新安全更新,以帮助确保其系统不受尝试利用的保护。 启用了自动汇报的客户将自动接收所有 Windows 更新。 有关安全更新的详细信息,请访问 Microsoft 安全网站。
保护电脑
我们将继续鼓励客户遵循“保护你的电脑”指南,了解如何启用防火墙、获取软件更新和安装 ant-virus 软件。 客户可以通过访问 “保护电脑”网站了解有关这些步骤的详细信息。
保持Windows 更新
所有 Windows 用户都应应用最新的 Microsoft 安全更新,以帮助确保其计算机尽可能受到保护。 如果不确定软件是否是最新的,请访问Windows 更新网站,扫描计算机以获取可用更新,并安装提供给你的任何高优先级更新。 如果启用了自动汇报,则更新会在发布时传送给你,但你必须确保安装它们。
其他信息
资源:
- 可以通过访问以下 网站完成表单来提供反馈。
- 美国和加拿大的客户可以从 Microsoft 产品支持服务获得技术支持。 有关可用支持选项的详细信息,请参阅 Microsoft 帮助和支持网站。
- 国际客户可以从其本地 Microsoft 子公司获得支持。 有关如何联系 Microsoft 以获取国际支持问题的详细信息,请访问 国际支持网站。
- Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。
免责声明:
此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修改:
- 2005 年 8 月 11 日:已发布公告
- 2005 年 8 月 14 日:已更新公告,建议客户 Microsoft 正在积极分析和提供有关标识为“Worm:Win32/Zotob.A”的恶意蠕虫的指导。
- 2005 年 8 月 15 日:公告已更新为记录 Worm:Win32/Zotob.A 的其他变体。 我们还更新了公告,以记录有关 RestrictAnonymous 注册表项影响的信息。
- 2005 年 8 月 16 日:公告已更新,以记录有关 Worm:Win32/Zotob.A 变体的其他信息,以及有关正在进行的调查的其他信息。
- 2005 年 8 月 17 日:公告已更新,以记录有关 Worm:Win32/Zotob.A 变体的其他信息。 我们还宣布推出 Microsoft Windows 恶意软件删除工具的修订版本,以帮助解决这些攻击。
生成于 2014-04-18T13:49:36Z-07:00