Удаленное выполнение произвольного кода при обработке SMB пакетов в MS Windows (обновлено)

Да

Дата публикации:	10.02.2005
Дата изменения:	17.10.2006
Всего просмотров:	4388
Опасность:	Средняя
Наличие исправления:
Количество уязвимостей:	1
CVE ID:	Нет данных
Вектор эксплуатации:	Локальная сеть
Воздействие:	Компрометация системы
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:	Microsoft Windows 2000 Professional Microsoft Windows NT 4.0 Workstation Microsoft Windows XP Home Edition Microsoft Windows NT 4.0 Server Microsoft Windows NT 4.0 Server, Terminal Server Edition Microsoft Windows 2000 Server Microsoft Windows 2000 Advanced Server Microsoft Windows XP Professional Microsoft Windows Server 2003 Standard Edition Microsoft Windows Server 2003 Enterprise Edition Microsoft Windows Server 2003 Datacenter Edition Microsoft Windows Server 2003 Web Edition Microsoft Windows 2000 Datacenter Server Microsoft Windows XP Embedded
Уязвимые версии: Microsoft Windows 2000 SP3, SP4; Microsoft Windows XP SP1, SP2; Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium); Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium); Microsoft Windows Server 2003; Microsoft Windows Server 2003 for Itanium-based Systems

Описание:
Уязвимость позволяет удаленному атакующему выполнить произвольный код на уязвимой системе.

Уязвимость существует при обработке SMB трафика и может быть реализована посредством переполнения буфера в SMB и CIFS.

Драйвер MRXSMB.SYS отвечает за проведение операций SMB клиента и за обработку запросов, полученных от SMB сервера. Некоторые важные операции, связанные с предоставлением сетевого доступа и все RPC-over-named-pipes используют команды Trans (25h) и Trans2 (32h). Злонамеренный SMB может послать клиенту специально сформированные транзакционные данные, что приведет к переполнению буфера. Удаленный атакующие может создать Trans2 FIND_FIRST2 пакет, в которых длина полей для имени файла и его короткого имени будет слишком большой. Удаленный атакующий сможет создать специально сформированные ‘file://’ ссылки, при нажатии на которые будет выполнен произвольный код на уязвимой системе.

URL производителя: http://www.microsoft.com

Решение: Установите обновления

MS09-050: уязвимости в протоколе SMB делают возможным удаленное выполнение программного кода

Корпорация Майкрософт выпустила бюллетень по безопасности MS09-050. Чтобы просмотреть его целиком, перейдите на один из указанных ниже веб-сайтов корпорации Майкрософт.

Версия для пользователей домашних компьютеров:

http://www.microsoft.com/rus/protect/computer/updates/bulletins/200910.mspxПропустить подробные сведения. Загрузите обновления на домашний компьютер или ноутбук с веб-сайта Центра обновления Майкрософт:

Версия для ИТ-специалистов:

Справка и поддержка по данному обновлению для системы безопасности

Пользователи домашних компьютеров в США и Канаде могут получить бесплатную поддержку по телефону 1-866-PCSAFETY

(номер телефона для своего региона см. на этой странице) или в местном дочернем подразделении корпорации Майкрософт. Дополнительные сведения о том, как связаться с местным дочерним подразделением корпорации Майкрософт относительно проблем, связанных с обновлениями для системы безопасности, см. на веб-сайте международной поддержки корпорации Майкрософт по следующему адресу:

http://support.microsoft.com/contactus/cu_sc_virsec_master?ws=support&ln=ru#tab0 В Северной Америке также можно воспользоваться неограниченной бесплатной поддержкой по электронной почте или через службу разговоров. Для этого посетите веб-сайт корпорации Майкрософт по следующему адресу:

https://support.microsoft.com/oas/default.aspx?ln=ru&prid=7552&st=1&wfxredirect=1&sd=gn Корпоративным клиентам поддержка по обновлениям для системы безопасности предоставляется через обычные службы поддержки.

ВВЕДЕНИЕ

Чтобы автоматически устранить эту проблему, щелкните ссылку Устранить эту проблему, которая относится к включению или выключению бюллетеня. Затем в диалоговом окне Загрузка файла нажмите кнопку Выполнить и следуйте указаниям мастера.

Примечание Мастер может быть доступен только на английском языке. Однако функцию автоматического исправления можно использовать в версиях Windows на любых языках.

Примечание. Если используется не тот компьютер, на котором выявлена проблема, можно сохранить автоматическое исправление на устройстве флэш-памяти или компакт-диске, чтобы затем запустить его на нужном компьютере.

Получить помощь в решении проблемы

Чтобы устранить эту проблему самостоятельно, см. раздел «Отключение SMB v2» в разделе «Временные решения» следующего бюллетеня по безопасности:

Решить проблему самостоятельно

Английская (США) версия данного обновления программного обеспечения содержит файлы с атрибутами, указанными в приведенных ниже таблицах. Дата и время для файлов указаны в формате UTC. Дата и время для файлов на локальном компьютере отображаются с учетом часового пояса и перехода на летнее время. При выполнении определенных операций с файлами даты и время могут изменяться.

Сведения о файлах для систем Windows Vista и Windows Server 2008

Файлы, относящиеся к определенному продукту или этапу разработки (RTM, SP n), можно определить по номерам версий, указанным в приведенной ниже таблице.

MS09-001: уязвимости в протоколе SMB делает возможным удаленное выполнение кода

ВВЕДЕНИЕ

Корпорация Майкрософт выпустила бюллетень по безопасности MS09-001. Чтобы просмотреть его целиком, перейдите на один из указанных ниже веб-узлов корпорации Майкрософт.

Версия для пользователей домашних компьютеров:

http://www.microsoft.com/protect/computer/updates/bulletins/200901.mspxПропустить подробные сведения. Загрузка обновлений на домашний компьютер или ноутбук с веб-сайта Центра обновления Майкрософт:

Версия для ИТ-специалистов:

Справка и поддержка по данному обновлению для системы безопасности

. Пользователи домашних компьютеров в США и Канаде могут получить бесплатную поддержку по телефону 1-866-PCSAFETY. Пользователям в других странах следует обращаться в местное представительство корпорации Майкрософт. Дополнительные сведения о том, как связаться с местным представительством корпорации Майкрософт для решения проблем, связанных с обновлениями для системы безопасности, см. на веб-сайте международной поддержки корпорации Майкрософт:

http://support.microsoft.com/common/international.aspx?rdpath=4 В Северной Америке также можно воспользоваться неограниченной бесплатной поддержкой по электронной почте или через службу разговоров. Для этого посетите веб-сайт корпорации Майкрософт по следующему адресу:

http://support.microsoft.com/oas/default.aspx?&prid=7552 Корпоративным клиентам поддержка по обновлениям для системы безопасности предоставляется через обычные службы поддержки.

Сведения о файлах

Английская (США) версия данного обновления программного обеспечения содержит версии файлов, указанные в приведенных ниже таблицах или более поздние. Дата и время для файлов указаны в формате UTC. Дата и время для файлов на локальном компьютере отображаются с учетом часового пояса и перехода на летнее время. При выполнении определенных операций с файлами даты и время могут меняться.

MS08-068: Уязвимость в протоколе SMB делает возможным удаленное выполнение кода

Поддержка для Windows Vista Пакет обновления 1 (SP1) завершается на 12 июля 2011 г. Чтобы продолжить получать обновления для системы безопасности для Windows, убедитесь, что вы используете Windows Vista с пакетом обновления 2 (SP2). Дополнительные сведения можно найти эту веб-страницу Майкрософт: заканчивается поддержка для некоторых версий Windows.

Важно. Данная статья содержит сведения о том, как понизить уровень безопасности либо отключить функции безопасности на компьютере. Эти изменения вносятся для устранения определенной проблемы. Прежде чем вносить эти изменения, рекомендуется оценить риски, связанные с ними в конкретной среде. При реализации этого метода обхода примите все необходимые дополнительные меры для защиты компьютера.

ВВЕДЕНИЕ

Корпорация Майкрософт выпустила бюллетень по безопасности MS08-068. Чтобы просмотреть полный текст бюллетеня, посетите один из следующих веб-узлов корпорации Майкрософт:

Пользователи домашних компьютеров:

http://www.microsoft.com/protect/computer/updates/bulletins/200811.mspxПропустить подробности: Загрузите обновления на домашний компьютер или ноутбук с узла Microsoft Update Web:

Получение справки и поддержки данного обновления для системы безопасности

Защитите свой компьютер с системой Windows от вирусов и вредоносных программ:
Антивирусное решение и центр обеспечения безопасности

Локальная поддержка по вашей страны:
Международная поддержка

Известные проблемы этого обновления безопасности

Симптомы

После установки этого обновления для системы безопасности приложения, например Microsoft SQL Server или Internet Information Services (IIS) может произойти сбой при локальных запросах проверки подлинности NTLM.

Причина

Эта проблема возникает из-за того, что NT LAN Manager (NTLM) обрабатывает различные контексты именования как удаленные объекты, а не как локальные. Сбой локальной проверки подлинности может произойти, когда клиент вычисляет и кэширует правильный ответ на запрос NTLM, отправляемых на сервер в памяти локального «lsass» перед отправкой ответа на сервер. Когда серверный код для NTLM обнаруживает полученный ответ в кэше локального «lsass», код не отвечает на запрос проверки подлинности и рассматривает его как атаку с повторением пакетов. Это приводит к сбою локальной проверки подлинности.

Существует два способа решения этой проблемы. Воспользуйтесь одним из следующих способов в зависимости от конкретной ситуации.

Важно! Этот раздел, метод или задача содержат действия, содержащие указания по изменению реестра. Однако, при некорректных изменениях реестра могут возникнуть серьезные проблемы. Поэтому выполняйте следующие действия внимательно. Для дополнительной защиты сделайте резервную копию реестра перед внесением изменений. В таком случае при возникновении неполадок можно будет восстановить реестр. Чтобы узнать дополнительные сведения о резервном копировании и восстановлении реестра, щелкните следующий номер статьи базы знаний Майкрософт:

322756 Как сделать резервное копирование и восстановление реестра Windows

Метод 1: Укажите имена узлов (предпочитаемый метод для проверки подлинности NTLM)

Чтобы указать имена узлов, которые сопоставлены с петлевым адресом и могут подключаться к веб-сайтам на вашем компьютере, выполните следующие действия.

Запись реестра DisableStrictNameChecking значение 1. Сведения о том, как сделать это, щелкните следующий номер статьи базы знаний Майкрософт:

Совместно использовать подключение к SMB на компьютере под управлением Windows 2000 или компьютер под управлением Windows Server 2003 может не работать с псевдоним 281308

Нажмите кнопку Пуск, выберите пункт Выполнить, введите команду regedit и нажмите кнопку ОК.

В редакторе реестра найдите и выделите следующий раздел реестра:

Щелкните правой кнопкой мыши раздел MSV1_0, выберите команду Создатьи затем Мультистроковый параметр.

Введите BackConnectionHostNamesи нажмите клавишу ВВОД.

Щелкните правой кнопкой мыши BackConnectionHostNamesи выберите команду Изменить.

В поле значение введите имя данного узла или имена узлов для сайтов, на локальном компьютере и нажмите кнопку ОК.

Закройте редактор реестра и перезапустите службу IISAdmin.

Способ 2: Отключение проверки замыкания на себя (менее рекомендуется метод)

Предупреждение Этот способ может сделать компьютер или сеть более уязвимыми для атак злоумышленников и проникновения потенциально опасных программ, например вирусов. Корпорация Майкрософт не рекомендует использовать этот способ, но в случае необходимости, применяя данный способ, Вы очень рискуете. Используйте этот метод исключительно на свой страх и риск.

Второй способ заключается в отключении проверки замыкания на себя с помощью параметра реестра DisableLoopbackCheck .

Чтобы задать раздел реестра DisableLoopbackCheck , выполните следующие действия.

Запись реестра DisableStrictNameChecking значение 1. Сведения о том, как сделать это, щелкните следующий номер статьи базы знаний Майкрософт:

Совместно использовать подключение к SMB на компьютере под управлением Windows 2000 или компьютер под управлением Windows Server 2003 может не работать с псевдоним 281308

Нажмите кнопку Пуск, выберите пункт Выполнить, введите команду regedit и нажмите кнопку ОК.

В редакторе реестра найдите и выделите следующий раздел реестра:

Щелкните правой кнопкой мыши Lsa, выберите команду Создатьи затем щелкните Значение DWORD.

Введите DisableLoopbackCheck и нажмите клавишу ВВОД.

Щелкните правой кнопкой мыши DisableLoopbackCheck и выберите команду Изменить.

В поле значение введите 1, и нажмите кнопку ОК.

Закройте редактор реестра и перезагрузите компьютер.

Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:

896861 При просмотре веб-узла, использующего встроенную проверку подлинности и размещенного на IIS 5.1 или IIS 6, появляется ошибка 401.1

887993 Проблемы с проверкой подлинности при доступе к веб-странице IIS 6.0 или запросе Microsoft SQL Server 2000 после установки Windows Server 2003 Пакет обновления 1

926642 сообщение об ошибке при попытке доступа к серверу локально, используя его полное доменное имя или псевдоним CNAME, после установки Windows Server 2003 Пакет обновления 1: «Доступ запрещен» или «нет сети не смогла обработать заданный сетевой путь»

Как отключить защиту от отражения NTLM для определенного имени участника-службы

Можно отключить защиту от отражения NTLM для определенного службы имя участника (SPN), что приводит к сбою проверки подлинности соответствующего. Чтобы сделать это, выполните следующие действия на компьютере клиента.

Нажмите кнопку Пуск, выберите пункт Выполнить, в поле Открыть введите команду regedit и нажмите кнопку ОК

Найдите и выделите следующий подраздел реестра:

В меню Правка выберите пункт Создатьи затем Мультистроковый параметр.

Введите BackConnectionHostNames в качестве имени Мультистроковый параметр и нажмите клавишу ВВОД.

Примечание. Если существует запись реестра BackConnectionHostNames тип REG_DWORD, необходимо удалить запись реестра BackConnectionHostNames.

Щелкните правой кнопкой мыши BackConnectionHostNamesи выберите команду Изменить.

В поле значение введите CNAME-имя или DNS-псевдоним, который используется для локальных общих папок на компьютере и нажмите кнопку ОК.

Примечание. Необходимо ввести имя каждого узла в отдельной строке.

Закройте редактор реестра и перезагрузите компьютер.

Примечание. Необходимо перезагрузить компьютер, чтобы изменения вступили в силу.

Результат отключения защиты от отражения NTLM для определенного имени участника-службы

Так как защита от отражения NTLM является частью исправления уязвимости SMB, отключения защиты от отражения NTLM в уязвимой системе вернет систему уязвимой для определенного имени участника-службы, для которого была отключена защита.

Повторное включение защиты от отражения NTLM для определенного имени участника-службы

Чтобы сделать это, выполните следующие действия на компьютере клиента.

Нажмите кнопку Пуск, выберите пункт Выполнить, в поле Открыть введите команду regedit и нажмите кнопку ОК

Найдите и выделите следующий подраздел реестра:

Щелкните правой кнопкой мыши BackConnectionHostNamesи выберите команду Изменить.

В поле значение удалите CNAME-имя или DNS-псевдоним, который используется для локальных общих папок на компьютере и нажмите кнопку ОК.

Примечание. Необходимо ввести имя каждого узла в отдельной строке.

Закройте редактор реестра и перезагрузите компьютер.

Примечание. Необходимо перезагрузить компьютер, чтобы изменения вступили в силу.

Сведения о файлах

Английская (США) версия данного обновления программного обеспечения устанавливает файлы, атрибуты которых указаны в приведенных ниже таблицах. Дата и время для этих файлов указаны в формате общего скоординированного времени (UTC). Дата и время для этих файлов на локальном компьютере отображаются в местном времени с учетом летнего времени (DST). Кроме того при выполнении определенных операций с файлами даты и время могут изменяться.