Bulletin zabezpečení společnosti Microsoft MS05-039

V technologii Plug and Play existuje chyba zabezpečení v podobě vzdáleného spuštění kódu a zvýšení úrovně oprávnění v místním systému, která by útočníkovi, jenž by ji úspěšně zneužil, mohla umožnit převzetí úplné kontroly nad postiženým systémem.

•	V systému Windows XP Service Pack 2 a Windows Server 2003 by útočník musel mít platná oprávnění pro přihlášení a mít možnost místního přihlášení, aby mohl tuto chybu zabezpečení zneužít. Tuto chybu zabezpečení nelze zneužít prostřednictvím vzdáleného přístupu anonymními uživateli ani uživateli se standardními uživatelskými účty. Postižená součást je však uživatelům, kteří mají oprávnění pro správu, k dispozici prostřednictvím vzdáleného přístupu.
•	V systému Windows XP Service Pack 1 by útočník musel mít platná přihlašovací oprávnění, aby mohl tuto chybu zabezpečení zneužít. Tuto chybu zabezpečení nemohou zneužít vzdálení ani anonymní uživatelé. Postižená součást je však uživatelům, kteří mají standardní uživatelské účty, k dispozici prostřednictvím vzdáleného přístupu.
•	Doporučené postupy pro používání brány firewall a standardní konfigurace této brány zajišťují ochranu sítí před útoky pocházejícími z oblasti mimo rozlehlou síť. Je vhodné, aby systémy připojené k Internetu měly přístupný minimální počet portů.

Na začátek sekce

Společnost Microsoft testovala následující zástupná řešení. Přestože tato zástupná řešení neopravují samotnou chybu zabezpečení, pomáhají blokovat známé způsoby útoku. Případná omezení funkčnosti způsobená daným zástupným řešením jsou uvedena v následující části.

Poznámka: Touto chybou mohou být postiženy i další protokoly, jako například Internetwork Packet Exchange (IPX) a Sequenced Packet Exchange (SPX). Používáte-li postižené protokoly zabezpečení, jako jsou IPX a SPX, měli byste zablokovat příslušné porty pro tyto protokoly. Další informace o protokolech IPX a SPX naleznete na následujícím webu společnosti Microsoft.

Poznámka: Jak je uvedeno v části Skutečnosti snižující závažnost rizika, systémy Windows XP Service Pack 2 a Windows Server 2003 jsou touto chybou zabezpečení ohroženy primárně ze strany místně přihlášených uživatelů. Následující možná zástupná řešení jsou primárně určena pro dřívější verze operačních systémů, které jsou ohroženy útoky prostřednictvím sítě ze strany anonymních uživatelů.

•

Zablokujte porty TCP 139 a 445 na bráně firewall: Tyto porty slouží k navázání spojení prostřednictvím postiženého protokolu. Blokování uvedených portů bránou firewall, a to v obou směrech, umožní zabezpečení systémů za touto bránou před zneužitím této chyby zabezpečení. Společnost Microsoft doporučuje blokovat veškerou nevyžádanou příchozí komunikaci z Internetu, a zabránit tak útokům využívajícím jiné porty. Další informace o portech najdete na následujícím webu.

•

Pokud chcete zamezit pokusům o zneužití této chyby zabezpečení, použijte osobní bránu firewall, jako je například služba Brána firewall pro připojení k Internetu, která je součástí systému Windows XP Service Pack 1. Pokud budete připojení k Internetu chránit pomocí funkce Brána firewall pro připojení k Internetu v systému Windows XP Service Pack 1, budou ve výchozím nastavení blokována nevyžádaná příchozí data. Doporučujeme blokovat veškerou nevyžádanou příchozí komunikaci z Internetu. Chcete-li funkci Brána firewall pro připojení k Internetu povolit pomocí Průvodce instalací sítě, postupujte následujícím způsobem: 1. Klepněte na tlačítko Start a potom na příkaz Ovládací panely. 2. Ve výchozím zobrazení podle kategorií klepněte na odkaz Připojení k síti a Internetu a klepněte na odkaz Nastavit nebo upravit síť pro domácnost nebo malou kancelář. Funkce Brána firewall pro připojení k Internetu je povolena, jestliže v Průvodci instalací sítě vyberete konfiguraci, která určuje, že systém je připojen přímo k Internetu. Chcete-li bránu firewall pro připojení k Internetu nakonfigurovat ručně, postupujte následujícím způsobem: 1. Klepněte na tlačítko Start a potom na příkaz Ovládací panely. 2. Ve výchozím zobrazení podle kategorií klepněte na odkaz Připojení k síti a Internetu a na odkaz Síťová připojení. 3. Klepněte pravým tlačítkem myši na připojení, u kterého chcete bránu firewall pro připojení k Internetu povolit, a potom klepněte na příkaz Vlastnosti. 4. Klepněte na kartu Upřesnit. 5. Klepnutím zaškrtněte políčko Chránit počítač a síť omezením nebo zabráněním přístupu k tomuto počítači z Internetu a klepněte na tlačítko OK. Poznámka: Pokud chcete povolit komunikaci některých programů a služeb prostřednictvím brány firewall, klepněte na kartě Upřesnit na tlačítko Nastavení a vyberte požadované programy, protokoly a služby.

•	Pokud chcete zamezit pokusům o zneužití této chyby zabezpečení, povolte rozšířený filtr TCP/IP v systémech, které uvedenou funkci podporují. Můžete povolit rozšířený filtr TCP/IP, a zablokovat tak veškerá nevyžádaná příchozí data. Další informace o konfiguraci filtru TCP/IP získáte v článku 309798 znalostní báze Microsoft Knowledge Base.
•	Pokud chcete zamezit pokusům o zneužití této chyby zabezpečení, zablokujte v systémech s touto chybou zabezpečení příslušné porty pomocí protokolu IPSec. Protokol IPSec (Internet Protocol security) umožňuje ochranu síťové komunikace. Podrobné informace o protokolu IPSec a nastavení filtrů jsou k dispozici v článcích 313190 a 813878 znalostní báze Microsoft Knowledge Base.

Na začátek sekce

Jaký je rozsah této chyby zabezpečení?

Jedná se o chybu zabezpečení umožňující vzdálené spuštění kódu a zvýšení úrovně místního oprávnění. V systému Windows 2000 by se útočník mohl pokusit zneužít tuto chybu zabezpečení prostřednictvím vzdáleného přístupu. V systému Windows XP Service Pack 1 by se tuto chybu zabezpečení mohl pokusit zneužít prostřednictvím vzdáleného přístupu pouze ověřený uživatel. V systémech Windows XP Service Pack 2 a Windows Server 2003 má k postižené součásti vzdálený přístup pouze správce. Proto se v systémech Windows XP Service Pack 2 a Windows Server 2003 jedná výhradně o chybu zabezpečení týkající se místního oprávnění. Tuto chybu zabezpečení by se v systémech Windows XP Service Pack 2 a Windows Server 2003 žádný anonymní uživatel nemohl pokusit zneužít prostřednictvím vzdáleného přístupu.

Útočník, který by tuto chybu zabezpečení zneužil, by mohl získat úplnou kontrolu nad postiženým systémem. Útočník by tak mohl instalovat programy, zobrazovat, měnit či odstraňovat data nebo vytvářet nové účty s úplnými uživatelskými právy.

Co tuto chybu zabezpečení způsobuje?
Nekontrolovaná vyrovnávací paměť ve službě Plug a Play.

Co je technologie Plug and Play?
Technologie Plug and Play (PnP) umožňuje operačnímu systému zjistit nový hardware po instalaci do systému. Pokud například do systému nainstalujete novou myš, technologie PnP umožní systému Windows zjistit tuto myš jako nový hardware, načíst potřebné ovladače a začít novou myš používat.

K čemu by mohl útočník tuto chybu zabezpečení zneužít?
Útočník, který by tuto chybu zabezpečení zneužil, by mohl získat úplnou kontrolu nad postiženým systémem.

Jak by mohl útočník tuto chybu zabezpečení zneužít?
V systému Windows 2000 by se anonymní útočník mohl pokusit tuto chybu zabezpečení zneužít vytvořením speciální zprávy, kterou by poslal do postiženého systému. Tato zpráva by pak mohla způsobit spuštění kódu v postiženém systému. Tuto akci by v systému Windows XP Service Pack 1 mohli prostřednictvím vzdáleného přístupu zneužít pouze ověření uživatelé. V systému Windows XP Service Pack 2 a Windows Server 2003 by ke zneužití této chyby zabezpečení musel útočník mít možnost se místně přihlásit k systému a pak spustit speciálně vytvořenou aplikaci.

Které systémy jsou touto chybou postiženy nejvíce?
Touto chybou jsou nejvíce postiženy operační systémy Windows 2000. V systémech Windows XP Service Pack 1, Windows XP Service Pack 2 a Windows Server 2003 může tuto chybu zneužít pouze útočník s platnými pověřeními pro přihlášení. Tuto chybu zabezpečení by anonymní uživatelé nemohli zneužít prostřednictvím vzdáleného přístupu v systémech XP Service Pack 1, Windows XP Service Pack 2 a Windows Server 2003.

Bylo by možné tuto chybu zabezpečení zneužít prostřednictvím Internetu?
Ano, mohli by ji zneužít anonymní uživatelé v systému Windows 2000 a ověření uživatelé v systému Windows XP Service Pack 1. Doporučené postupy pro používání brány firewall a standardní výchozí konfigurace této brány zajišťují ochranu před útoky pocházejícími z Internetu. Společnost Microsoft zveřejnila informace o tom, jak můžete přispět k zabezpečení svého počítače. Koncoví uživatelé mohou navštívit web Chraňte svůj počítač. Odborníci v oblasti IT mohou navštívit web Centrum doporučených postupů zabezpečení. V systému Windows XP Service Pack 2 a Windows Server 2003 by se útočník musel přihlásit ke konkrétnímu systému, aby jej mohl napadnout. Anonymní útočník nemůže pomocí této chyby zabezpečení program zavést a spustit prostřednictvím vzdáleného přístupu.

Co je podstatou této aktualizace?
Tato aktualizace tuto chybu zabezpečení odstraňuje tak, že mění způsob, jakým technologie Plug and Play ověřuje délku zprávy před jejím odesláním do přidělené vyrovnávací paměti. V systému Windows 2000 navíc aktualizace omezuje anonymní přístup k postiženým součástem a vyžaduje po uživatelích ověření postižené součásti před pokusem tuto funkci používat prostřednictvím vzdáleného přístupu. Tato změna je v souladu s výchozím nastavením systému Windows XP Service Pack 1.

Byla v době zveřejnění tohoto bulletinu tato chyba zabezpečení veřejně známá?
Ne. Společnost Microsoft byla o této chybě informována důvěryhodným zdrojem. Společnost Microsoft nemá žádné informace, které by naznačovaly, že tato chyba zabezpečení byla v době vydání tohoto bulletinu veřejně známá.

Měla v době zveřejnění tohoto bulletinu společnost Microsoft nějaké informace o tom, že tato chyba zabezpečení byla zneužita?
Ne. Společnost Microsoft neměla žádné informace, které by naznačovaly, že daná chyba zabezpečení byla v době původního zveřejnění tohoto bulletinu zneužita k útoku na zákazníky, a nezaznamenala ani žádné důkazy nebo publikované příklady kódu, které by naznačovaly, že tato chyba byla zneužita.

Na začátek sekce

Požadavky
Tato aktualizace zabezpečení vyžaduje systém Windows Server 2003 nebo Windows Server 2003 Service Pack 1.

Zahrnutí do budoucích aktualizací Service Pack
Aktualizace odstraňující tento problém bude zahrnuta do budoucí aktualizace Service Pack nebo do kumulativní aktualizace.

Informace o instalaci

Tato aktualizace zabezpečení podporuje následující instalační přepínače.

Poznámka: V jednom příkazu je možné použít více přepínačů. Z důvodu zpětné kompatibility podporuje tato aktualizace zabezpečení také mnoho instalačních přepínačů používaných v předchozích verzích daného instalačního nástroje. Další informace o podporovaných instalačních přepínačích získáte v článku 262841 znalostní báze Microsoft Knowledge Base. Další informace o instalačním programu Update.exe získáte na webu Microsoft TechNet.

Informace o instalaci

Pokud chcete tuto aktualizaci zabezpečení nainstalovat bez zásahu uživatele, zadejte na příkazovém řádku systému Windows Server 2003 následující příkaz:

Windowsserver2003-kb899588-x86-enu /quiet

Poznámka: Použitím přepínače /quiet se potlačí všechny zprávy. Potlačí se také zprávy o selhání. Správci by měli při použití přepínače /quiet používat jednu z podporovaných metod ověření, zda instalace proběhla úspěšně. Správci by také měli zkontrolovat, zda soubor protokolu KB899588.log neobsahuje při používání tohoto přepínače zprávy o selhání.

Jestliže chcete tuto aktualizaci zabezpečení nainstalovat bez vynucení restartování systému, zadejte na příkazovém řádku systému Windows Server 2003 následující příkaz:

Windowsserver2003-kb899588-x86-enu /norestart

Informace o způsobu instalace této aktualizace zabezpečení pomocí služby SUS získáte na webu služby Software Update Services. Další informace o způsobu instalace této aktualizace zabezpečení pomocí služby Windows Server Update Services získáte na webu služby Windows Server Update Services. Tato aktualizace zabezpečení bude také k dispozici prostřednictvím webu Microsoft Update.

Požadavek na restartování

Po instalaci této aktualizace zabezpečení je třeba restartovat počítač.

Informace o odinstalaci

Tuto aktualizaci je možné odebrat pomocí panelu Přidat nebo odebrat programy v okně Ovládací panely.

Správci systémů mohou k odebrání této aktualizace zabezpečení použít také nástroj Spuninst.exe. Nástroj Spuninst.exe je umístěn ve složce %Windir%\$NTUninstallKB899588$\Spuninst.

Informace o souborech

Anglická verze této aktualizace zabezpečení má atributy souborů, které jsou uvedeny v následující tabulce. Data a časy jednotlivých souborů jsou uvedeny ve formátu UTC (Coordinated Universal Time). Při zobrazení informací o souboru jsou data a čas převedeny na místní čas. Rozdíl mezi místním časem a časem UTC naleznete na kartě Časové pásmo na panelu Datum a čas v okně Ovládací panely.

Windows Server 2003, Web Edition; Windows Server 2003, Standard Edition; Windows Server 2003, Datacenter Edition; Windows Server 2003, Enterprise Edition; Windows Small Business Server 2003; Windows Server 2003, Web Edition SP1; Windows Server 2003, Standard Edition SP1; Windows Server 2003, Enterprise Edition SP1 a Windows Server 2003, Datacenter Edition SP1:

Windows Server 2003 Enterprise Edition pro systémy s procesorem Itanium; Windows Server 2003, Datacenter Edition pro systémy s procesorem Itanium; Windows Server 2003, Enterprise Edition SP1 pro systémy s procesorem Itanium a Windows Server 2003, Datacenter Edition SP1 pro systémy s procesorem Itanium:

Windows Server 2003, Standard x64 Edition; Windows Server 2003, Enterprise x64 Edition a Windows Server 2003, Datacenter x64 Edition:

Poznámky: Nainstalujete-li tyto aktualizace zabezpečení, instalační služba zkontroluje, zda nebyly některé aktualizované soubory v počítači již dříve aktualizovány pomocí opravy hotfix společnosti Microsoft.

Jestliže jste dříve aktualizovali některý z uvedených souborů instalací opravy hotfix, instalační služba zkopíruje do systému soubory ze složky RTMQFE, SP1QFE nebo SP2QFE. V opačném případě instalační služba zkopíruje do systému soubory ze složky RTMGDR, SP1GDR nebo SP2GDR. Aktualizace zabezpečení nemusí obsahovat všechny verze uvedených souborů. Další informace o tomto chování najdete v článku 824994 znalostní báze Microsoft Knowledge Base.

Další informace o tomto chování najdete v článku 824994 znalostní báze Microsoft Knowledge Base.

Další informace o instalačním programu Update.exe získáte na webu Microsoft TechNet.

Další informace o terminologii objevující se v tomto bulletinu (například oprava hotfix) získáte v článku 824684 znalostní báze Microsoft Knowledge Base.

Soubor Arpidfix.exe používá instalační služba aktualizace zabezpečení k řešení problému popsaného v článku 904630 znalostní báze Microsoft Knowledge Base. Tento soubor není v postiženém systému nainstalován.

Ověření instalace aktualizace

Požadavky
Tato aktualizace zabezpečení vyžaduje systém Microsoft Windows XP Service Pack 1 nebo novější. Další informace získáte v článku 322389 znalostní báze Microsoft Knowledge Base.

Zahrnutí do budoucích aktualizací Service Pack
Aktualizace odstraňující tento problém bude zahrnuta do budoucí aktualizace Service Pack nebo do kumulativní aktualizace.

Informace o instalaci

Tato aktualizace zabezpečení podporuje následující instalační přepínače.

Poznámka: V jednom příkazu je možné použít více přepínačů. Z důvodu zpětné kompatibility podporuje tato aktualizace zabezpečení také instalační přepínače používané v předchozích verzích daného instalačního nástroje. Další informace o podporovaných instalačních přepínačích získáte v článku 262841 znalostní báze Microsoft Knowledge Base. Další informace o instalačním programu Update.exe získáte na webu Microsoft TechNet.

Informace o instalaci

Pokud chcete tuto opravu zabezpečení nainstalovat bez zásahu uživatele, zadejte na příkazovém řádku systému Microsoft Windows XP následující příkaz:

Windowsxp-kb899588-x86-enu /quiet

Poznámka: Použitím přepínače /quiet se potlačí všechny zprávy. Potlačí se také zprávy o selhání. Správci by měli při použití přepínače /quiet používat jednu z podporovaných metod ověření, zda instalace proběhla úspěšně. Správci by také měli zkontrolovat, zda soubor protokolu KB899588.log neobsahuje při používání tohoto přepínače zprávy o selhání.

Jestliže chcete tuto opravu zabezpečení nainstalovat bez vynucení restartování, zadejte na příkazovém řádku systému Windows XP následující příkaz:

Windowsxp-kb899588-x86-enu /norestart

Informace o způsobu instalace této aktualizace zabezpečení pomocí služby SUS získáte na webu služby Software Update Services. Další informace o způsobu instalace této aktualizace zabezpečení pomocí služby Windows Server Update Services získáte na webu služby Windows Server Update Services. Tato aktualizace zabezpečení bude také k dispozici prostřednictvím webu Microsoft Update.

Požadavek na restartování

Po instalaci této aktualizace zabezpečení je třeba restartovat počítač.

Informace o odinstalaci

Tuto aktualizaci zabezpečení je možné odebrat pomocí panelu Přidat nebo odebrat programy v okně Ovládací panely.

Správci systémů mohou k odebrání této aktualizace zabezpečení použít také nástroj Spuninst.exe. Nástroj Spuninst.exe je umístěn ve složce %Windir%\$NTUninstallKB899588$\Spuninst.

Informace o souborech

Anglická verze této aktualizace zabezpečení má atributy souborů, které jsou uvedeny v následující tabulce. Data a časy jednotlivých souborů jsou uvedeny ve formátu UTC (Coordinated Universal Time). Při zobrazení informací o souboru jsou data a čas převedeny na místní čas. Rozdíl mezi místním časem a časem UTC naleznete na kartě Časové pásmo na panelu Datum a čas v okně Ovládací panely.

Windows XP Home Edition Service Pack 1, Windows XP Professional Service Pack 1, Windows XP Tablet PC Edition, Windows XP Media Center Edition, Windows XP Home Edition Service Pack 2, Windows XP Professional Service Pack 2, Windows XP Tablet PC Edition 2005 a Windows XP Media Center Edition 2005:

Windows XP Professional x64:

Poznámky: Nainstalujete-li tyto aktualizace zabezpečení, instalační služba zkontroluje, zda nebyly některé aktualizované soubory v počítači již dříve aktualizovány pomocí opravy hotfix společnosti Microsoft.

Jestliže jste dříve aktualizovali některý z uvedených souborů instalací opravy hotfix, instalační služba zkopíruje do systému soubory ze složky RTMQFE, SP1QFE nebo SP2QFE. V opačném případě instalační služba zkopíruje do systému soubory ze složky RTMGDR, SP1GDR nebo SP2GDR. Aktualizace zabezpečení nemusí obsahovat všechny verze uvedených souborů. Další informace o tomto chování najdete v článku 824994 znalostní báze Microsoft Knowledge Base.

Další informace o instalačním programu Update.exe získáte na webu Microsoft TechNet.

Další informace o terminologii objevující se v tomto bulletinu (například oprava hotfix) získáte v článku 824684 znalostní báze Microsoft Knowledge Base.

Soubor Arpidfix.exe používá instalační služba aktualizace zabezpečení k řešení problému popsaného v článku 904630 znalostní báze Microsoft Knowledge Base . Tento soubor není v postiženém systému nainstalován.

Ověření instalace aktualizace

Požadavky:
V systému Windows 2000 vyžaduje tato aktualizace zabezpečení aktualizaci Service Pack 4 (SP4). Pro systém Small Business Server 2000 tato aktualizace zabezpečení vyžaduje systém Small Business Server 2000 Service Pack 1a (SP1a) nebo Small Business Server 2000 v počítači se systémem Windows 2000 Server Service Pack 4 (SP4).

Uvedený software byl testován, zda neobsahuje tuto chybu. Pro ostatní verze buď již nejsou poskytovány opravy zabezpečení, nebo tuto chybu neobsahují. Pokud chcete zjistit dobu, po kterou je pro určitý produkt a verzi poskytována technická podpora, navštivte web Zásady poskytování technické podpory pro produkty společnosti Microsoft.

Další informace o možnostech získání nejnovější aktualizace Service Pack získáte v článku 260910 znalostní báze Microsoft Knowledge Base.

Zahrnutí do budoucích aktualizací Service Pack
Aktualizace odstraňující tento problém bude pravděpodobně zahrnuta do budoucí kumulativní aktualizace.

Informace o instalaci

Tato aktualizace zabezpečení podporuje následující instalační přepínače.

Poznámka: V jednom příkazu je možné použít více přepínačů. Z důvodu zpětné kompatibility podporuje tato aktualizace zabezpečení také instalační přepínače používané v předchozích verzích daného instalačního nástroje. Další informace o podporovaných instalačních přepínačích získáte v článku 262841 znalostní báze Microsoft Knowledge Base. Další informace o instalačním programu Update.exe získáte na webu Microsoft TechNet. Další informace o terminologii objevující se v tomto bulletinu (například oprava hotfix) získáte v článku 824684 znalostní báze Microsoft Knowledge Base.

Informace o instalaci

Pokud chcete tuto aktualizaci zabezpečení nainstalovat bez zásahu uživatele, zadejte na příkazovém řádku systému Windows 2000 Service Pack 4 následující příkaz:

Windows2000-kb899588-x86-enu /quiet

Poznámka: Použitím přepínače /quiet se potlačí všechny zprávy. Potlačí se také zprávy o selhání. Správci by měli při použití přepínače /quiet používat jednu z podporovaných metod ověření, zda instalace proběhla úspěšně. Správci by také měli zkontrolovat, zda soubor protokolu KB899588.log neobsahuje při používání tohoto přepínače zprávy o selhání.

Pokud chcete tuto aktualizaci nainstalovat bez vynucení restartování systému, zadejte na příkazovém řádku systému Windows 2000 Service Pack 4 následující příkaz:

Windows2000-kb899588-x86-enu /norestart

Další informace o způsobu instalace této aktualizace zabezpečení pomocí služby SUS získáte na webu služby Software Update Services. Další informace o způsobu instalace této aktualizace zabezpečení pomocí služby Windows Server Update Services získáte na webu služby Windows Server Update Services. Tato aktualizace zabezpečení bude také k dispozici prostřednictvím webu Microsoft Update.

Požadavek na restartování

Po instalaci této aktualizace zabezpečení je třeba restartovat počítač.

Informace o odinstalaci

Tuto aktualizaci zabezpečení je možné odebrat pomocí panelu Přidat nebo odebrat programy v okně Ovládací panely.

Správci systémů mohou k odebrání této aktualizace zabezpečení použít také nástroj Spuninst.exe. Nástroj Spuninst.exe je umístěn ve složce %Windir%\$NTUninstallKB899588$\Spuninst.

Informace o souborech

Anglická verze této aktualizace zabezpečení má atributy souborů, které jsou uvedeny v následující tabulce. Data a časy jednotlivých souborů jsou uvedeny ve formátu UTC (Coordinated Universal Time). Při zobrazení informací o souboru jsou data a čas převedeny na místní čas. Rozdíl mezi místním časem a časem UTC naleznete na kartě Časové pásmo na panelu Datum a čas v okně Ovládací panely.

Windows 2000 Service Pack 4 a Small Business Server 2000:

Ověření instalace aktualizace