Обнаружена новая критическая уязвимость в ряде операционных систем от Microsoft

19 июля 2003

[19.07.2003]

16 июля 2003 года компания Microsoft опубликовала бюллетень MS03-26 посвященный выпуску очередного патча в связи с обнаружением серьезной уязвимости в интерфейсе протокола вызова удаленных процедур (RPC). Уязвимость, которую призван устранить данный патч, по классификации угроз компании Microsoft является "критической" (Critical).

Переполнение буфера в интерфейсе протокола вызова удаленных процедур может привести к запуску кода

Обнаруженной уязвимости подвержены пользователи операционных систем Windows NT4.0/NT 4.0 Terminal Services Edition/2000/XP, а также Microsoft Windows Server 2003.

Протокол RPC является протоколом, используемым ОС Windows для обеспечения механизма межпроцессного взаимодействия и позволяющим программе на одном компьютере запускать код в удаленной системе. Уязвимость содержится в той части протокола, которая осуществляет обмен сообщениями по протоколу TCP/IP и состоит в некорректной обработке, при определенных условиях, специальным образом сформированных сообщений. В случае успешного проникновения в систему, нападающий будет иметь возможность запуска в ней кода на правах пользователя локальной системы, включая инсталляцию программ, просмотр и уничтожение данных, форматирование жестких дисков, видоизменение веб-страниц, и добавление новых пользователей в локальную группу администраторов.

Для проникновения в систему с использованием данного дефекта в программном обеспечении нападающим должен быть отослан специальным образом сформированный запрос на удаленный компьютер через порты TCP/UDP 135, 139, 445 или любой другой специальным образом сконфигурированный порт в удаленной системе. Отправка такого RPC-сообщения приведет к отказу системы в работе и возможности запуска любого кода.

Соответствующие патчи

опубликованы в рамках вышеописанного бюллетеня.

До момента установки патчей, а компания Microsoft призывает всех пользователей ее программного обеспечения сделать это как можно скорее, предлагаются следующие меры, которые снизят возможность проникновения в систему с использованием описываемой уязвимости:

  • Блокировка портов TCP/UDP Port 135, 139 и 445 средствами межсетевых экранов
  • Отключение DCOM на уязвимых машинах
  • 12
    ;