SI-CERT 2003-03 / Javno dostopna koda za izrabo ranljivosti MS03-026

Opis

SI-CERT je bil obveščen o obstoju javno dostopne programske kode, ki izrablja ranljivost Microsoft Windows NT/2000/XP/Server 2003 operacijskih sistemov. Ranljivost je opisana v obvestilu Microsoft MS03-023, nanaša pa se na implementacijo RPC mehanizma za klic funkcij na oddaljenem sistemu (“Remote Procedure Call”). Opis ranljivosti in povezave na popravke najdete na naslovu:

http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

Ker ta ranljivost omogoča napadalcu zagon poljubne kode na napadenem sistemu, predstavlja zelo resno varnostno luknjo, ki napadalcu omogoča dostop do vseh podatkov na napadenem sistemu in nameščanje poljubnih programov. Ti lahko služijo med drugim kot t.im. “boti” (oz. agenti) za izvajanje napadov motenja storitev (“Distributed denial of service attack”). Prav tako je možno, da se bo v kratkem pojavil internetni črv, ki bo ranljivost uporabljal za avtomatsko širjenje. Tak črv lahko povzroči podobne probleme na omrežju kot t.im. MS SQL Slammer črv (glej obvestilo SI-CERT 2003-01).

Navodila za skrbnike lokalnih omrežij

RPC mehanizmi v Windows sistemih so praviloma namenjeni komunikaciji na internih omrežjih ustanov in jih ni varno uporabljati v internetu preko TCP ali UDP protokolov izven njih. Skrbnikom lokalnih omrežij zato svetujemo, da na meji svojega internega omrežja (oz. na protipožarni pregradi) blokirajo ves dohodni TCP in UDP promet, ki je namenjen na porte 135, 139 in 445 in na računalnike z ranljivimi MS Windows sistemi namestijo ustrezne popravke proizvajalca, ki so dostopni na zgoraj navedenem naslovu, ali preko

http://windowsupdate.microsoft.com/

Navodila za končne uporabnike

Uporabniki ranljivih MS Windows sistemov naj namestijo ustrezne popravke proizvajalca, prav tako pa priporočamo uporabo osebne protipožarne pregrade (“firewall”). Seznam teh se skupaj z nekaj osnovnimi navodili za zaščito MS Windows operacijskih sistemov nahaja na naslovu

http://www.arnes.si/si-cert/zascita.html

Povezave

• Microsoft Security Bulletin MS03-026
  http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
• What You Should Know About Microsoft Security Bulletin MS03-026
  http://www.microsoft.com/security/security_bulletins/MS03-026.asp
• CERT Advisory CA-2003-16 Buffer Overflow in Microsoft RPC
  http://www.cert.org/advisories/CA-2003-16.html
• SI-CERT 2003-01 / Slammer črv (MS SQL)
  http://www.arnes.si/si-cert/obvestila/2003-01.html
• Osnovna navodila za zaščito MS Windows sistemov
  http://www.arnes.si/si-cert/zascita.html