06.11.2008

Сетевая утилита для тестирования уязвимостей MS08-065 и MS08-067

image

В этой статье сделан обзор уязвимостей MS08-065 и MS08-067 и предложен способ удаленной идентификации уязвимостей.

Обе эти уязвимости связаны с обработкой RPC запросов и представляют большую опасность для пользователей, которые не установили исправления. Уязвимость в службе Server в данный момент эксплуатируется червем Gimmiv.A. По данным SANS в данный момент существует два варианта распространения: посредством самого эксплоита и через P2P сеть (Emule).

В настоящий момент известны следующие образцы злонамеренного кода:

Вышеописанные уязвимости представляют большую опасность для компаний и для отдельных пользователей в сетях, где отсутствуют механизмы идентификации уязвимых хостов (таких как XSpider, MaxPatrol или MBSA).

Positive Technologies выпустила сетевую утилиту для идентификации уязвимостей, описанных в бюллетенях безопасности MS08-065 и MS08-067. Для проверки достаточно иметь доступ только к портам сервисов NetBIOS (445/tcp) и Message Queuing (2103/tcp).

На рисунке изображены результаты сканирования:


 

С помощью этой утилиты системные администраторы смогут быстро и легко выявить уязвимые системы и установить соответствующие исправления.

Загрузить утилиту проверки.

Ссылки

http://www.f-secure.com/weblog/archives/00001526.html
http://www.shadowserver.org/wiki/pmwiki.php?n=Calendar.20081030
http://blog.threatexpert.com/2008/10/gimmiva-exploits-zero-day-vulnerability.html
http://honeytrap.mwcollect.org/msexploit
http://isc.sans.org/diary.html?storyid=5288&rss
http://isc.sans.org/diary.html?storyid=5275&rss
http://www.securitylab.ru/analytics/361827.php
http://www.securitylab.ru/vulnerability/361179.php
http://www.securitylab.ru/vulnerability/361770.php
http://www.microsoft.com/technet/security/bulletin/MS08-065.mspx
http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx
http://blogs.msdn.com/sdl/archive/2008/10/22/ms08-067.aspx

Ниже приведены подробности о проверяемых уязвимостях.

 

MS08-065 или уязвимость в Message Queuing Service

Уязвимые системы: Microsoft Windows 2000
Уязвимый компонент: служба Message Queuing (MSMQ)
Максимальное воздействие: Выполнение произвольного кода с привилегиями учетной записи SYSTEM
Наличие эксплоита в публичном доступе: Нет
Идентификатор CVE: CVE-2008-3479
Вектор эксплуатации: удаленный
Дополнительные условия: служба по умолчанию отключена
Рейтинг опасности SecurityLab: средний

Краткое описание уязвимости

Уязвимость существует из-за переполнения динамической памяти в службе Message Queing Service (mqsvc.exe) при обработке RPC запросов. Удаленный неавторизованный пользователь может отправить уязвимой системе специально сформированный RPC запрос и выполнить произвольный код на целевой системе с привилегиями учетной записи SYSTEM. Для выполнения кода злоумышленнику придется произвести тайминг атаку.

Способы противодействия

Заблокировать входной трафик:

  • к портам выше 1024
  • к любому другому RPC порту

Отключить уязвимую службу: sc stop MSMQ & sc config MSMQ start= disabled

Установить исправление: http://www.microsoft.com/downloads/details.aspx?familyid=899e2728-2433-4ccb-a195-05b5d65e5469&displaylang=en

 

MS08-067 или уязвимость в службе Server

Уязвимые системы: Microsoft Windows 2000, Microsoft Windows XP, Microsoft Windows Server 2003, Microsoft Windows Vista, Microsoft Windows Server 2008
Уязвимый компонент: служба Server
Максимальное воздействие: Выполнение произвольного кода с привилегиями учетной записи SYSTEM
Наличие эксплоита в публичном доступе: Да. Уязвимость активно эксплуатируется червем Gimmiv.A.
Идентификатор CVE: CVE-2008-4250
Вектор эксплуатации: удаленный
Дополнительные условия: служба по умолчанию отключена
Рейтинг опасности SecurityLab: критический

Краткое описание уязвимости

Уязвимость существует из-за переполнения буфера в службе Server при обработке RPC запросов. Удаленный пользователь может с помощью специально сформированного RPC запроса вызвать переполнение стека и выполнить произвольный код на целевой системе. Для удачной эксплуатации уязвимости на Windows Vista и Windows Server 2008 атакующий должен успешно аутентифицироваться на системе.

Способы противодействия

Способы противодействия описаны в статье Подробности уязвимости MS08-067.

Загрузить утилиту проверки.

comments powered by Disqus