После тщательной проверки, сразу из нескольких источников стало известно, что “универсальный” эксплоит против DCOM№2 уязвимости, опубликованный в среду на нашем форуме, работает даже при установленной заплате MS03-39.
Пока удалось настроить эксплоит только для DoS нападения, но скорее всего эксплоит можно оптимизировать и для выполнения произвольного кода. Всем пользователям срочно рекомендуется закрыть уязвимые порты для доступа из интернет, так как в ближайшее время возможно появление нового разрушительного червя, эксплуатирующего неустраненную уязвимость .
В настоящий момент уязвимость проверена на следующих системах:
* Microsoft Windows XP Professional * Microsoft Windows XP Home * Microsoft Windows 2000 WorkstationТакже разработана SNORT сигнатура для этой уязвимости:
alert TCP any any -> any 135 (msg:"RPC Vulnerability - bind initiation";sid:1; rev:1; content:"|05 00 0B 03 10 00 00 00 48 00 00 00 7F 00 00 00 D0 16 D0 16 00 00 00 00 01 00 00 00 01 00 01 00 a0 01 00 00 00 00 00 00 C0 00 00 00 00 00 00 46 00 00 00 00 04 5D 88 8A EB 1C C9 11 9F E8 08 00 2B10 48 60 02 00 00 00|"; flow:to_server,established;classtype:attempted-admin;)
Разбираем кейсы, делимся опытом, учимся на чужих ошибках