16 Сентября, 2008

Активная эксплуатация уязвимости в Microsoft Media Encoder ActiveX компоненте (MS08-053)

Валерий Марчук
Symantec сообщил об обнаружении активной эксплуатации уязвимости в Microsoft Media Encoder ActiveX компоненте, описанной в бюллетене безопасности MS08-053.

Хронология событий:
9 сентября – выход бюллетеня безопасности от Microsoft
13 сентября – эксплоит находится в публичном доступе
15 сентября – ханипоты Symantec зафиксировали активную эксплуатацию уязвимости

По данным Symantec, эксплоит распространяется двумя путями:
  • В открытом виде, т.е. используется общедоступный шеллкод;
  • Кодированный шеллкод, распространяемый в e2 тулките.

Рекомендации:

Установка исправления:
Следует в кратчайшие сроки установить исправление от производителя. Ссылки на исправления для различных версий Windows.

Временное решение:

1. В качестве временного решения можно запретить доступ к уязвимой библиотеке WMEX.dll

Для Windows 2000, XP, 2003:

Echo y| cacls "C:Program FilesWindows Media ComponentsEncoderwmex.dll" /E /P everyone:N

Для Windows Vista и 20008

Takeown.exe /f "C:Program FilesWindows Media ComponentsEncoderwmex.dll"
Icacls.exe "C:Program FilesWindows Media ComponentsEncoderwmex.dll" /save %TEMP%WMEX_ACL.TXT
Icacls.exe "C:Program FilesWindows Media ComponentsEncoderwmex.dll" /deny everyone:(F)

2. Отмена регистрации библиотеки WMEX.dll

regsvr32.exe -u "C:Program FilesWindows Media ComponentsEncoderwmex.dll