06.11.2008

Сетевая утилита для тестирования уязвимостей MS08-065 и MS08-067

image

В этой статье сделан обзор уязвимостей MS08-065 и MS08-067 и предложен способ удаленной идентификации уязвимостей.

Обе эти уязвимости связаны с обработкой RPC запросов и представляют большую опасность для пользователей, которые не установили исправления. Уязвимость в службе Server в данный момент эксплуатируется червем Gimmiv.A. По данным SANS в данный момент существует два варианта распространения: посредством самого эксплоита и через P2P сеть (Emule).

В настоящий момент известны следующие образцы злонамеренного кода:

Вышеописанные уязвимости представляют большую опасность для компаний и для отдельных пользователей в сетях, где отсутствуют механизмы идентификации уязвимых хостов (таких как XSpider, MaxPatrol или MBSA).

Positive Technologies выпустила сетевую утилиту для идентификации уязвимостей, описанных в бюллетенях безопасности MS08-065 и MS08-067. Для проверки достаточно иметь доступ только к портам сервисов NetBIOS (445/tcp) и Message Queuing (2103/tcp).

На рисунке изображены результаты сканирования:


 

С помощью этой утилиты системные администраторы смогут быстро и легко выявить уязвимые системы и установить соответствующие исправления.

Загрузить утилиту проверки.

Ссылки

http://www.f-secure.com/weblog/archives/00001526.html
http://www.shadowserver.org/wiki/pmwiki.php?n=Calendar.20081030
http://blog.threatexpert.com/2008/10/gimmiva-exploits-zero-day-vulnerability.html
http://honeytrap.mwcollect.org/msexploit
http://isc.sans.org/diary.html?storyid=5288&rss
http://isc.sans.org/diary.html?storyid=5275&rss
http://www.securitylab.ru/analytics/361827.php
http://www.securitylab.ru/vulnerability/361179.php
http://www.securitylab.ru/vulnerability/361770.php
http://www.microsoft.com/technet/security/bulletin/MS08-065.mspx
http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx
http://blogs.msdn.com/sdl/archive/2008/10/22/ms08-067.aspx

Ниже приведены подробности о проверяемых уязвимостях.

 

MS08-065 или уязвимость в Message Queuing Service

Уязвимые системы: Microsoft Windows 2000
Уязвимый компонент: служба Message Queuing (MSMQ)
Максимальное воздействие: Выполнение произвольного кода с привилегиями учетной записи SYSTEM
Наличие эксплоита в публичном доступе: Нет
Идентификатор CVE: CVE-2008-3479
Вектор эксплуатации: удаленный
Дополнительные условия: служба по умолчанию отключена
Рейтинг опасности SecurityLab: средний

Краткое описание уязвимости

Уязвимость существует из-за переполнения динамической памяти в службе Message Queing Service (mqsvc.exe) при обработке RPC запросов. Удаленный неавторизованный пользователь может отправить уязвимой системе специально сформированный RPC запрос и выполнить произвольный код на целевой системе с привилегиями учетной записи SYSTEM. Для выполнения кода злоумышленнику придется произвести тайминг атаку.

Способы противодействия

Заблокировать входной трафик:

  • к портам выше 1024
  • к любому другому RPC порту

Отключить уязвимую службу: sc stop MSMQ & sc config MSMQ start= disabled

Установить исправление: http://www.microsoft.com/downloads/details.aspx?familyid=899e2728-2433-4ccb-a195-05b5d65e5469&displaylang=en

 

MS08-067 или уязвимость в службе Server

Уязвимые системы: Microsoft Windows 2000, Microsoft Windows XP, Microsoft Windows Server 2003, Microsoft Windows Vista, Microsoft Windows Server 2008
Уязвимый компонент: служба Server
Максимальное воздействие: Выполнение произвольного кода с привилегиями учетной записи SYSTEM
Наличие эксплоита в публичном доступе: Да. Уязвимость активно эксплуатируется червем Gimmiv.A.
Идентификатор CVE: CVE-2008-4250
Вектор эксплуатации: удаленный
Дополнительные условия: служба по умолчанию отключена
Рейтинг опасности SecurityLab: критический

Краткое описание уязвимости

Уязвимость существует из-за переполнения буфера в службе Server при обработке RPC запросов. Удаленный пользователь может с помощью специально сформированного RPC запроса вызвать переполнение стека и выполнить произвольный код на целевой системе. Для удачной эксплуатации уязвимости на Windows Vista и Windows Server 2008 атакующий должен успешно аутентифицироваться на системе.

Способы противодействия

Способы противодействия описаны в статье Подробности уязвимости MS08-067.

Загрузить утилиту проверки.

или введите имя

CAPTCHA
Страницы: 1  2  
07-11-2008 18:14:22
Утилита очень медленно работает... сканирует сеть /24 в течении 1.5 часов
0 |
07-11-2008 19:38:46
Ну а чё тут говорить? Выложили халяву. Может это специально? Как и ограничение по размеру сканируемой сети? Да и вообще, очень надо - можно вступить и скомпилировать самостоятельно.
0 |
07-11-2008 20:52:45
Скорость ограничена специально, чтобы уменьшить побочные эффекты от использования утилиты подписчиками журнала "Хакер". Для администратора, который не ставит целью "взломать интернет" а проверяет некоторые узлы - скорость ИМХО достаточная (на живом узле - несколько секунд).
0 |
10-11-2008 12:14:13
Товарищи, просканил свою сеть, большинство компов по порверка MS08-067 "Не удалось установить соединение с сервисом netbios". Это что значит? Обновление нужно в этом случае?
0 |
10-11-2008 14:04:02
Это значит, что включен файрвол. Пример обнаруженного патча показан на картинке (вторая строчка сверху в логе).
0 |
10-11-2008 14:27:11
Хм...файрвола нет... по крайней мере не на всех компах. netstat -a -n показывает что 0.0.0.0 445 tcp LISTENING. Виндовый брэндмауэр везде выключен. странно...
0 |
А служба NetBIOS работает? Проверьте на одной из машин: доходят ли до неё пакеты от утилиты? Возможно, они дропаются сетевым оборудованием пока продвигаются в сети
0 |
10-11-2008 16:05:43
Поверхностный анализ показывает, что данное сообщение пожет появляться в следующих случаях: 1) нет доступа к машине (файрвол и прочие IPS) 2) нет доступа по нулевой сессии. то есть патча может и не быть, но для эксплуатации уязвимости требуется аутентификация 3) нет конкретно этого сервиса. то есть и беспокоится не о чем 4) какие-то ошибки при коммуникации с сервисом (авторизация и прочие локальные проблемы). Резюмируя, если утилита не нашла, то и скрип-киды не проберутся. А тру-хакеры - они по отдельным протоколам ходят
0 |
Avari
23-01-2009 20:04:19
netstat к брандмауэру отношения никакого не имеет. Порт может прослушиваться, но запросы к нему могут блокироваться.
0 |
Андрей
22-11-2010 13:22:06
Кто знает на счёт чего на уровне строк машинного кода, работала "ms10-061" уязвимость
0 |
Владимир
22-04-2011 09:40:15
не одну утилиту не пропускает касперский
0 |
Страницы: 1  2