Zabezpečení > Informační zpravodaje zabezpečení

Informační zpravodaj zabezpečení společnosti Microsoft (899588)

Chyba zabezpečení technologie Plug and Play může umožnit vzdálené spuštění kódu a zvýšení úrovně oprávnění

Publikováno: 11. srpna 2005 | Aktualizováno: 15. srpna 2005

Společnost Microsoft aktivně hodnotí a zveřejňuje postup pro zabezpečení před škodlivým červem označovaným názvem Worm:Win32/Zotob.A a jeho variantami, který se v současné době vyskytuje v síti Internet. Tento červ představuje škodlivý útok, který zneužívá chybu zabezpečení technologie Plug and Play popsanou v bulletinu zabezpečení společnosti Microsoft MS05-039 vydaném 9. srpna 2005.

Počáteční šetření prokázala, že tento červ prostřednictvím vzdáleného přístupu ohrožuje systémy Windows 2000. Další informace o tomto viru, pomoc při zjišťování nakažení počítače tímto červem a pokyny pro opravu systému, který byl tímto červem nakažen, naleznete na webu problémů se zabezpečením týkajících se červa Zotob nebo v encyklopedii virů společnosti Microsoft (Microsoft Virus Encyclopedia) (Worm:Win32/Zotob.A, Worm:Win32/Zotob.B).

Ostatní verze systému Windows, včetně systému Windows XP Service Pack 2 a Windows Server 2003, nejsou červem Worm:Win32/Zotob.A a jeho variantami postiženy, pokud nebyly předtím napadeny jiným škodlivým softwarem. Zákazníci se proti útokům zkoušejícím zneužít tuto chybu zabezpečení mohou chránit okamžitou instalací aktualizací zabezpečení poskytnutých v bulletinu zabezpečení společnosti Microsoft MS05-039. Bulletin zabezpečení MS05-039 je k dispozici na následujícím webu.

Společnost Microsoft pokračuje v šetření týkajícím se tohoto škodlivého programu, aby mohla poskytnout zákazníkům odpovídající technickou podporu. Naše společnost při tomto šetření úzce spolupracuje s partnery zabývajícími se antivirovou ochranou a podporuje vymáhání práva.

Společnost Microsoft má informace o tom, že na Internetu bylo zveřejněno několik verzí zneužitelného kód pro chybu zabezpečení popsanou v bulletinu zabezpečení společnosti Microsoft MS05-039: Chyba zabezpečení technologie Plug and Play může umožnit vzdálené spuštění kódu a zvýšení úrovně oprávnění (899588). Webové odkazy naleznete v části Přehled, která obsahuje další informace o tomto internetovém červu.

Náš výzkum tohoto zneužitelného kódu prokázal, že kód neohrožuje zákazníky, kteří do počítače nainstalovali aktualizace popsané v bulletinu zabezpečení MS05-039. Společnost Microsoft nadále doporučuje zákazníkům instalovat aktualizace postižených produktů zapnutím funkce Automatické aktualizace systému Windows.

Společnost Microsoft je zklamána tím, že někteří odborníci na zabezpečení porušili obecně uznávanou praxi zadržování dat o chybách zabezpečení tak brzy po vydání aktualizace a zveřejnili zneužitelný kód, potenciálně ohrožující uživatele počítačů. Nadále doporučujeme odborníkům na zabezpečení, aby informace o chybě zabezpečení zveřejňovali zodpovědně a poskytli zákazníkům čas k instalaci aktualizací, a tak nenapomáhali zločincům, kteří se pokoušejí zneužívat chyb zabezpečení softwaru.

Zmírňující faktory:

Touto chybou jsou postiženy zejména systémy Windows 2000. Zákazníci se systémem Windows 2000, kteří mají nainstalovanou aktualizaci zabezpečení MS05-039, nebudou touto chybou zabezpečení postiženi. Pokud správce změnou výchozího nastavení klíče registru RestrictAnonymous na hodnotu 2 zakáže anonymní připojení, systémy Windows 2000 nebudou ohroženy prostřednictvím vzdáleného přístupu anonymními uživateli. Avšak v důsledku velkého ohrožení kompatibility aplikací nedoporučujeme zákazníkům povolit toto nastavení v provozním prostředí bez předchozího důkladného otestování v daném prostředí. Další informace o klíči registru RestrictAnonymous naleznete na webu technické podpory společnosti Microsoft.

Přestože se nejedná o aktuální cíl tohoto zneužitelného kódu, je třeba upozornit na to, že v systémech Windows XP Service Pack 2 a Windows Server 2003 musí mít útočník platná pověření pro přihlášení a musí mít možnost se místně přihlásit, aby mohl tuto chybu zabezpečení zneužít. Systémy Windows XP Service Pack 2 a Windows Server 2003 nejsou touto chybou zabezpečení ohroženy prostřednictvím vzdáleného přístupu anonymními uživateli nebo uživateli se standardními uživatelskými účty. Důvodem je rozšířené zabezpečení integrované přímo v postižené součásti. Dokonce i když administrátor změnou výchozího nastavení klíče registru RestrictAnonymous povolí anonymní připojení, systémy Windows XP Service Pack 2 a Windows Server 2003 nebudou ohroženy prostřednictvím vzdáleného přístupu anonymními uživateli nebo uživateli se standardními uživatelskými účty. Postižená součást je však uživatelům, kteří mají oprávnění ke správě, k dispozici prostřednictvím vzdáleného přístupu.

Přestože se nejedná o aktuální cíl tohoto zneužitelného kódu, je třeba upozornit na to, že v systému Windows XP Service Pack 1 musí mít útočník platná pověření pro přihlášení, aby se mohl pokusit zneužít tuto chybu zabezpečení. Tuto chybu zabezpečení nemohou zneužít vzdálení ani anonymní uživatelé. Postižená součást je však uživatelům, kteří mají standardní uživatelské účty v systému Windows XP Service Pack 1, k dispozici prostřednictvím vzdáleného přístupu. Existující zneužitelný kód není navržen tak, aby poskytoval ověření potřebná k zneužití tohoto problému v těchto operačních systémech. Dokonce i když správce změnou výchozího nastavení klíče registru RestrictAnonymous povolí anonymní připojení, systémy Windows XP Service Pack 1 nebudou ohroženy prostřednictvím vzdáleného přístupu anonymními uživateli.

Tento problém se netýká systémů Windows 98, Windows 98 SE a Windows Millennium Edition.

Obecné informace

Přehled

Účel tohoto informačního zpravodaje: Oznámení o aktivních útocích na zákazníka a o dostupnosti aktualizace zabezpečení umožňující ochranu před tímto ohrožením.

Stav informačního zpravodaje: Informační zpravodaj byl publikován. Tomuto problému je věnována část bulletinu zabezpečení MS05-039, a proto není nutná další aktualizace.

Doporučení: Na ochranu před touto chybou zabezpečení by zákazníci měli nainstalovat aktualizaci zabezpečení MS05-039.

OdkazyIdentifikace
Odkazy týkající se chyby zabezpečení 

Odkaz na seznam CVE

CAN-2005-1983

Bulletin zabezpečení

MS05-039

Podrobnosti o zneužití a o červu 

Problémy se zabezpečením týkající se červa Zotob

web

Encyklopedie virů společnosti Microsoft (Microsoft Virus Encyclopedia)

Worm:Win32/Zotob.A, Worm:Win32/Zotob.B

Společnost Symantec

W32.Zotob.A, W32.Zotob.B

Společnost F-Secure

Zotob.A, Zotob.B

Společnost McAfee

W32/Zotob.worm, W32/Zotob.worm.b

Poznámka: Tento informační zpravodaj bude pro další varianty červa aktualizován jen v případě, že se budou podstatně odlišovat od současných verzí.

Tento informační zpravodaj se vztahuje k následujícímu softwaru.

Související software

Microsoft Windows 2000 Service Pack 4

Microsoft Windows XP Service Pack 1

Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)

Microsoft Windows XP Service Pack 2

Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)

Microsoft Windows XP Professional x64 Edition

Microsoft Windows Server 2003

Microsoft Windows Server 2003 pro systémy s procesorem Itanium

Microsoft Windows Server 2003 Service Pack 1

Microsoft Windows Server 2003 SP1 pro systémy s procesorem Itanium

Microsoft Windows Server 2003 x64 Edition

Microsoft Windows 98, Microsoft Windows 98 Druhé vydání a Microsoft Windows Millennium Edition (ME)

Na začátek sekceNa začátek sekce

Nejčastější dotazy

Co je cílem tohoto informačního zpravodaje?
Společnost Microsoft má informace o tom, že na Internetu bylo zveřejněno několik verzí zneužitelného kódu pro chybu zabezpečení popsanou v bulletinu zabezpečení společnosti Microsoft MS05-039: Chyba zabezpečení technologie Plug and Play může umožnit vzdálené spuštění kódu a zvýšení úrovně oprávnění (899588). Je pravděpodobné, že existující verze internetového červa byly změněny, aby mohly využít tento kód. Společnost Microsoft má v současné době informace o aktivních útocích na zákazníky, které se pokoušejí zneužít tuto chybu. Společnost Microsoft ovšem aktivně sleduje tuto situaci, aby mohla informovat zákazníky a poskytovat jim nezbytné rady.

Náš výzkum tohoto zneužitelného kódu prokázal, že kód neohrožuje zákazníky, kteří nainstalovali aktualizace popsané v bulletinu MS05-039. Společnost Microsoft nadále doporučuje zákazníkům instalovat aktualizace postižených produktů zapnutím funkce Automatické aktualizace systému Windows.

Jedná se o chybu zabezpečení, která vyžaduje vydání aktualizace společností Microsoft?
Ne. Zákazníci, kteří nainstalovali aktualizaci zabezpečení MS05-039, nebudou touto chybou zabezpečení postiženi.

Jaká je příčina tohoto postižení?
Nekontrolovaná vyrovnávací paměť ve službě Plug a Play. Další informace o chybě zabezpečení naleznete v bulletinu zabezpečení MS05-039.

K čemu by mohl útočník tuto funkci zneužít?
Útočník, který by tuto chybu zabezpečení zneužil, by mohl získat úplnou kontrolu nad postiženým systémem. Útočník by tak mohl instalovat programy, zobrazovat, měnit či odstraňovat data nebo vytvářet nové účty s úplnými uživatelskými právy.

Na začátek sekceNa začátek sekce

Doporučené postupy

Zákazníci by měli na ochranu před touto chybou zabezpečení nainstalovat aktualizaci zabezpečení MS05-039.

Touto chybou jsou postiženy zejména systémy Windows 2000. Zákazníci, kteří nainstalovali aktualizaci zabezpečení MS05-039, nebudou touto chybou zabezpečení postiženi.

Pokud se domníváte, že byl váš počítač nakažen tímto červem nebo jeho variantami, proveďte vyčistění počítače.

Pokyny pro ověření nakažení počítače tímto červem nebo jeho variantami a pokyny pro opravu systému, který byl tímto červem nakažen, naleznete na webu problémů se zabezpečením týkajících se červa Zotob nebo v encyklopedii virů společnosti Microsoft (Microsoft Virus Encyclopedia). (Worm:Win32/Zotob.A, Worm:Win32/Zotob.B).

Zákazníci v USA, kteří se domnívají, že byli napadeni, by měli kontaktovat místní pobočku FBI nebo poslat stížnost na web organizace IFCC (Internet Fraud Complaint Center). Zákazníci mimo Spojené státy by měli kontaktovat trestní orgány v příslušné zemi.

Zákazníci, kteří se domnívají, že mohou být touto možnou chybou zabezpečení postiženi, mohou získat technickou podporu na webu technické podpory společnosti Microsoft. Technická podpora související s aktualizacemi zabezpečení nebo antivirovou podporou je bezplatná. Zákazníci mohou využít kteroukoli z možností mezinárodní technické podpory uvedenou na webu nápovědy a technické podpory k zabezpečení pro domácí uživatele.

Všichni zákazníci by si měli nainstalovat nejnovější aktualizace zabezpečení vydané společností Microsoft. Pomohou tak zajistit ochranu svých systémů před pokusy o zneužití. Zákazníci, kteří povolili funkci Automatické aktualizace, automaticky obdrží všechny aktualizace pro systém Windows. Další informace o aktualizacích zabezpečení naleznete na webu o zabezpečení produktů společnosti Microsoft..

Chraňte svůj počítač

Doporučujeme zákazníkům, aby se řídili našimi pokyny k ochraně počítače a povolili bránu firewall, opatřili si aktualizace softwaru a nainstalovali antivirový software. Zákazníci mohou získat další informace o těchto krocích na webu Chraňte svůj počítač.

Zajištění aktuálnosti systému Windows

Všichni uživatelé systému Windows by měli nainstalovat nejnovější aktualizace zabezpečení od společnosti Microsoft, aby zajistili co nejlepší zabezpečení počítače. Pokud si nejste jisti, zda je váš software aktuální, navštivte web Windows Update, nechte vyhledat dostupné aktualizace pro počítač a nainstalujte všechny nabízené nejdůležitější aktualizace. Pokud je zapnutá funkce Automatické aktualizace, obdržíte aktualizace při jejich vydání, ale poté musíte zajistit jejich instalaci.

Na začátek sekceNa začátek sekce

Zdroje informací:

Zákazníci mohou získat technickou podporu na webu služby technické podpory společnosti Microsoft. Další informace o dostupných možnostech technické podpory naleznete na webu technické podpory společnosti Microsoft.

Mezinárodní zákazníci získají podporu u místních zastoupení společnosti Microsoft. Další informace o možnostech kontaktování společnosti Microsoft v případě potřeby mezinárodní technické podpory naleznete na webu mezinárodní technické podpory.

Další informace o zabezpečení produktů společnosti Microsoft nabízí web Microsoft TechNet Security.

Zřeknutí se záruky:

Informace v tomto zpravodaji jsou poskytovány tak, jak jsou, bez jakékoli záruky. Společnost Microsoft neposkytuje žádné záruky, výslovně uvedené či mlčky předpokládané, včetně záruk obchodovatelnosti a vhodnosti pro určitý účel. Společnost Microsoft ani její dodavatelé nenesou v žádném případě zodpovědnost za žádné škody, včetně přímých, nepřímých, náhodných či následných škod, ztráty zisku či zvláštních škod, a to ani v případě, že byli na možnost takových škod upozorněni. V některých zemích a právních řádech není dovoleno vyloučit nebo omezit odpovědnost, proto se výše uvedené omezení na vás nemusí vztahovat.

Revize: 

11. srpna 2005: Informační zpravodaj byl publikován

14. srpna 2005: Informační zpravodaj byl aktualizován, aby informoval zákazníky o tom, že společnost Microsoft aktivně hodnotí a zveřejňuje postup pro zabezpečení před škodlivým červem označovaným názvem Worm:Win32/Zotob.A.

15. srpna 2005: Informační zpravodaj byl aktualizován, aby informoval o dalších variantách červa Worm:Win32/Zotob.A. Aktualizace byla provedena rovněž z důvodů poskytnutí informací o vlivu klíče registru RestrictAnonymous.


NahoruNahoru