Активная эксплуатация уязвимости в Microsoft Media Encoder ActiveX компоненте (MS08-053)

Security
Активная эксплуатация уязвимости в Microsoft Media Encoder ActiveX компоненте (MS08-053)
Symantec сообщил об обнаружении активной эксплуатации уязвимости в Microsoft Media Encoder ActiveX компоненте, описанной в бюллетене безопасности MS08-053.

Хронология событий:
9 сентября – выход бюллетеня безопасности от Microsoft
13 сентября – эксплоит находится в публичном доступе
15 сентября – ханипоты Symantec зафиксировали активную эксплуатацию уязвимости

По данным Symantec, эксплоит распространяется двумя путями:
  • В открытом виде, т.е. используется общедоступный шеллкод;
  • Кодированный шеллкод, распространяемый в e2 тулките.

Рекомендации:

Установка исправления:
Следует в кратчайшие сроки установить исправление от производителя. Ссылки на исправления для различных версий Windows.

Временное решение:

1. В качестве временного решения можно запретить доступ к уязвимой библиотеке WMEX.dll

Для Windows 2000, XP, 2003:

Echo y| cacls "C:Program FilesWindows Media ComponentsEncoderwmex.dll" /E /P everyone:N

Для Windows Vista и 20008

Takeown.exe /f "C:Program FilesWindows Media ComponentsEncoderwmex.dll"
Icacls.exe "C:Program FilesWindows Media ComponentsEncoderwmex.dll" /save %TEMP%WMEX_ACL.TXT
Icacls.exe "C:Program FilesWindows Media ComponentsEncoderwmex.dll" /deny everyone:(F)

2. Отмена регистрации библиотеки WMEX.dll

regsvr32.exe -u "C:Program FilesWindows Media ComponentsEncoderwmex.dll
Security
Alt text

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!
article-title

Валерий Марчук

Блог посвящен безопасности и жизни секлаба