В ближайшем будущем возможно появление нового червя, аналогичного LoveSan - три новых критических уязвимости обнаружены в операционных системах MS Windows

[11.09.2003]

10 сентября 2003 г. корпорация Microsoft опубликовала бюллетень MS03-39, посвященный обнаружению сразу трех серьезных уязвимостей в системе безопасности операционной системы Microsoft Windows, классифицируемых по шкале угроз компании как "критические" (Critical).

Переполнение буфера в службе RPCSS может привести к запуску кода

Уязвимости подвержены пользователи следующих версий операционной системы Microsoft Windows:

• Microsoft Windows NT Workstation 4.0
• Microsoft Windows NT Server® 4.0
• Microsoft Windows NT Server 4.0, Terminal Server Edition
• Microsoft Windows 2000
• Microsoft Windows XP
• Microsoft Windows Server 2003

Публикуемый в рамках данного бюллетеня патч устраняет уязвимость, описанную в распространенном ранее бюллетене MS03-026, а также три новых дефекта в системе безопасности Microsoft Windows. Две из них могут привести к запуску произвольного кода на пораженном компьютере, а одна к организации DoS атаки.

Протокол вызова удаленных процедур (Remote Procedure Call - RPC) является одним из протоколов ОС Windows и обеспечивает взаимодействие между программами на одном компьютере и процедурами, физически расположенными на другом компьютере. Три новые уязвимости существуют в той части сервиса RPCSS, которая взаимодействует с сообщениями RPC для активации DCOM и при некоторых условиях не проверяет должным образом эти сообщения.

Для проведения успешной атаки нападающему необходимо создать специальную программу, которая доставит в уязвимую систему через порт TCP/UDP специальным образом сформированное RPC-сообщение. Поступление такого сообщения может привести к отказу в работе сервиса RPCSS и к последующему запуску произвольного кода в пораженной системе на правах пользователя локальной системы. В последствии становится возможным получение полного контроля над атакованной системой и осуществление в ней любых действий, включая инсталляцию вредоносных программ, просмотр, внесение изменений и уничтожение данных, создание новых бюджетов пользователей, изменение веб-страниц, форматирование жестких дисков.

Данная уязвимость аналогична той, которая своей время была использована семейством интернет-червей LoveSan, вызвавших в середине августа одну из крупнейших в вирусной истории эпидемий. Как известно, несмотря на то, что эпидемия началась спустя почти месяц после публикации компанией Microsoft соответствующей информации, именно непринятие большинством пользователей заблаговременных адекватных мер привело к высочайшей скорости распространения червя и поражения им сотен тысяч компьютеров по всему миру. В этой связи ЗАО "ДиалогНаука" призывает всех пользователей вышеуказанных версий Windows установить у себя рекомендуемые патчи. Их можно получить на официальном сайте компании Microsoft:

• для Windows NT Workstation 4.0
• для Windows NT Server 4.0
• для Windows NT Server 4.0, Terminal Server Edition
• для Windows 2000
• для Windows XP
• для Windows XP 64 bit Edition
• для Windows XP 64 bit Edition Version 2003
• для Windows Server 2003
• для Windows Server 2003 64 bit Edition

Кроме того, использование сетевых экранов с их настройками по умолчанию, блокировка портов UDP 135, 137, 138, 445 и TCP 135, 139, 445, 593, отключение сервисов COM Internet (CIS) и RPC через HTTP, позволят временно обезопасить уязвимую систему от внешнего вторжения.