• Névtelen felhasználók csak Windows 2000 és Windows XP rendszereket támadhatnak távolról. A biztonsági rés a Windows Server 2003 és a Windows XP 64-Bit Edition Version 2003 operációs rendszerben is megtalálható, de azt csak helyi rendszergazdák használhatják ki.
• A Windows NT 4.0 operációs rendszert nem érinti ez a biztonsági rés.
• A Windows NT 4.0 operációs rendszert nem érinti ez a biztonsági rés.

A Microsoft az alábbi megoldásokat tesztelte. Jóllehet ezek a megoldások magát a biztonsági rést nem szüntetik meg, segítenek kivédeni az ismert támadási módszereket. Ha egy megoldási javaslat csökkenti a rendszer funkcionalitását, azt jelezzük.

• Használjon személyes tűzfalat, például a Windows XP és a Windows Server 2003 rendszerben található Internetkapcsolat tűzfal szolgáltatást.
  Az Internetkapcsolat tűzfala szolgáltatás Windows XP vagy Windows Server 2003 rendszerben való használatával alapértelmezés szerint letiltható a kéretlen bejövő forgalom, ezért a Microsoft azt tanácsolja, hogy a rendszergazdák tiltsák le az internetről érkező összes kéretlen adatforgalmat.
  Az Internetkapcsolat tűzfala szolgáltatás bekapcsolása a Hálózat beállítása varázslóval:
  1. Kattintson a Start menü Vezérlőpult parancsára.
  2. Az alapértelmezett kategórianézetben kattintson a Hálózati és internetes kapcsolatok, majd Az internetkapcsolat létrehozása vagy beállításainak módosítása hivatkozásra. Az Internetkapcsolat tűzfala úgy engedélyezhető, hogy a Hálózat beállítása varázslóban egy, az internettel közvetlen kapcsolatot feltételező konfigurációt ad meg.
  Az Internetkapcsolat tűzfala szolgáltatás kézi beállítása egy kapcsolathoz:
  1. Kattintson a Start menü Vezérlőpult parancsára.
  2. Az alapértelmezett kategórianézetben kattintson a Hálózati és internetes kapcsolatok, majd a Hálózati kapcsolatok hivatkozásra.
  3. Kattintson jobb gombbal arra a kapcsolatra, amelynél engedélyezni kívánja az Internetkapcsolat tűzfala szolgáltatást, majd válassza a TulajdonságokTulajdonságok
  4. Kattintson a Speciális fülre.
  5. Jelölje be a Védem a számítógépet és a hálózatot, korlátozom vagy letiltom a hozzáférést az internetről jelölőnégyzetet, majd kattintson az OK gombra.
  Megjegyzés: Ha engedélyezni szeretné egyes programok vagy szolgáltatások használatát a tűzfalon keresztül, a Speciális lapon kattintson a Beállítások gombra, és válassza ki a kívánt programokat, protokollokat és szolgáltatásokat.
• Tiltsa le a tűzfalon keresztül:
  • a 135-ös, a 137-es, a 138-as és a 445-ös UDP-portot, valamint a 135-ös, a 139-es, a 445-ös és az 593-as TCP-portot;
  • az összes kéretlen bejövő forgalmat az 1024-es számú feletti portokon;
  • az összes speciálisan konfigurált RPC-portot.
  A rendszer ezeket a portokat használja az RPC szolgáltatással való kapcsolat létrehozására. E portok letiltása megakadályozza, hogy a tűzfal mögötti rendszereken a támadók a biztonsági rést kihasználják. Ne felejtse el letiltani az összes speciálisan konfigurált RPC-portot a távoli rendszeren. A Microsoft azt javasolja, hogy az internet felől bejövő összes kéretlen adatforgalmat tiltsa le, ezzel megakadályozhatja az esetleg más portokon keresztül történő támadásokat. Ha többet szeretne tudni az RPC által használt portokról, látogasson el erre a webhelyre.
• Engedélyezze a speciális TCP/IP-szűrést azokon a rendszereken, amelyek ezt támogatják.
  A speciális TCP/IP-szűrés engedélyezésével az összes kéretlen bejövő forgalmat letilthatja. Ha többet szeretne tudni a TCP/IP-szűrés beállításáról, olvassa el a Microsoft Tudásbázis 309798-as számú cikkét.
• Az érintett rendszeren tiltsa le az összes, IPSec protokollt használó portot.
  Az IPSec protokoll a hálózati kommunikáció védelmét segíti. Az IPSec protokollról és a szűrők alkalmazási módjáról részletesebben tájékozódhat a Microsoft Tudásbázis 313190-es és 813878-as számú cikkében. (Előfordulhat, hogy a hivatkozások részben vagy teljes egészében angol nyelvű tartalomra mutatnak.)

Ez a biztonsági rés puffertúlcsordulást okoz. A rést kihasználó támadó távolról teljesen átveheti az érintett rendszer vezérlését, programokat telepíthet, adatokat tekinthet meg, módosíthat és törölhet, vagy teljes jogosultsággal rendelkező fiókokat hozhat létre.

Egy ellenőrizetlen puffer az LSASS szolgáltatásban.

Az LSASS felületet nyújt a helyi biztonság, a tartományi hitelesítés és az Active Directory folyamatainak kezeléséhez, valamint kezeli az ügyfél és a kiszolgáló hitelesítéseit. Az LSASS része továbbá néhány, az Active Directory segédprogramjait támogató szolgáltatás is.

Ha egy támadó kihasználja a biztonsági rést, teljes mértékben átveheti a rendszer vezérlését.

A biztonsági rést Windows 2000 és Windows XP rendszerben az érintett rendszernek támadó szándékkal, különlegesen kialakított üzeneteket kézbesítő névtelen felhasználók használhatják ki.

A biztonsági rés kiaknázásához a támadónak egy ártó szándékkal, speciálisan kialakított üzenetet kell létrehoznia, és elküldenie az érintett rendszernek. Az üzenet a kézbesítést követően programkódfuttatást kezdeményezhet a megtámadott rendszerben.
Az érintett rendszerhez a támadó más módon is hozzáférhet. Bejelentkezhet például interaktív módon, vagy egy program segítségével paramétereket küldhet a veszélyeztetett összetevőnek akár a helyi számítógépről, akár távolról.

A biztonsági rés elsősorban a Windows 2000 és Windows XP rendszerre jelent veszélyt.
Windows Server 2003 és Windows XP 64-Bit Edition Version 2003 rendszer esetén a magasabb fokú védelemnek köszönhetően csak rendszergazdai hitelesítő adatokkal, helyileg bejelentkezve használható ki a biztonsági rés.

A frissítés a biztonsági rés megszüntetéséhez módosítja az LSASS üzenethossz-érvényesítő algoritmusát, mely az üzeneteket a lefoglalt pufferbe való továbbítás előtt ellenőrzi.
A frissítés eltávolítja továbbá a Windows 2000 Professional és a Windows XP rendszerből a biztonsági rést tartalmazó kódrészleteket, mivel ezen operációs rendszerek működéséhez nincs szükség a biztonsági rés által érintett felületekre. Ez a módszer segítséget nyújt a szolgáltatás esetleges újabb felderített biztonsági réseinek kiküszöböléséhez.

• A biztonsági rés kihasználásához a támadónak különlegesen kialakított LDAP-üzenetet kell küldenie a tartományvezérlőnek. Ha nem blokkolja tűzfal az LDAP-portok forgalmát, a támadónak a biztonsági rés kihasználásához nincs szüksége további jogosultságokra.
• A biztonsági rés csak a Windows 2000 Server rendszerű tartományvezérlőkre jelent kockázatot, a Windows Server 2003 tartományvezérlőket nem érinti.
• A biztonsági rés nem érinti továbbá a Windows NT 4.0 és a Windows XP operációs rendszert sem.
• A biztonsági rést sikeresen kihasználó támadás esetén a megtámadott rendszer megjeleníthet egy figyelmeztetést, melynek értelmében 60 másodpercnyi visszaszámlálás után automatikusan újraindul. A 60 másodperc leteltét követően a rendszer automatikusan újraindul. Az újraindítás után visszatér a megtámadott rendszer normális funkcionalitása. Ettől függetlenül a frissítés telepítéséig az előzőleg megtámadott rendszert újabb szolgáltatásmegtagadási támadások lehetséges célpontjának kell tekinteni.
• A tűzfalakra vonatkozó gyakorlati tanácsok, valamint a szabványos alapértelmezett tűzfal-konfigurációk segítséget nyújtanak a hálózatot érő, a szervezet határain kívülről eredő támadások kivédésében. Gyakorlati tanácsként azt javasoljuk, hogy az internetkapcsolattal rendelkező számítógépeken a lehető legkevesebb port legyen megnyitva.

A Microsoft az alábbi megoldásokat tesztelte. Jóllehet ezek a megoldások magát a biztonsági rést nem szüntetik meg, segítenek kivédeni az ismert támadási módszereket. Ha egy megoldási javaslat csökkenti a rendszer funkcionalitását, azt jelezzük.

• Blokkolja tűzfalban az LDAP által használt 389-es, 636-os, 3268-as és 3269-es TCP-portokat.
  Ezeken a portokon keresztül kezdeményezhető LDAP-kapcsolat a Windows 2000 rendszerű tartományvezérlőkkel. A portok tűzfalszintű blokkolása segítséget nyújt a tűzfal mögötti rendszerek védelmében a biztonsági rés kihasználására a szervezet határain kívülről kezdeményezett támadásokkal szemben. A biztonsági rés más portokon keresztül is kiaknázható, a felsorolt portok csak a leggyakoribb támadási módszerekben használt portok. A Microsoft azt javasolja, hogy az internet felől bejövő összes kéretlen adatforgalmat tiltsa le, ezzel megakadályozhatja az esetleg más portokon keresztül történő támadásokat.
  A megoldás hatása: Az Active Directory tartományi hitelesítése nem lesz lehetséges azokon a hálózati kapcsolatokon keresztül, melyeken az említett portok blokkolva vannak.

Ez a biztonsági rés szolgáltatásmegtagadást okoz. A biztonsági rést kihasználó támadó automatikus újraindításra késztetheti a megtámadott rendszert, valamint az újraindítás ideje alatt megakadályozhatja a kiszolgálót a hitelesítési kérések megválaszolásában. A biztonsági rés a tartományvezérlői szerepben működő Windows 2000 Server rendszereket érinti. Az egyéb Windows 2000 rendszereken tapasztalható egyetlen jelenség, hogy az ügyfelek nem tudnak bejelentkezni a tartományba, ha annak tartományvezérlője nem válaszol.

A speciálisan kialakított LDAP-üzenetek feldolgozási algoritmusa az LSASS szolgáltatásban.

Az LDAP (Lightweight Directory Access Protocol) egy ipari szabványnak tekinthető protokoll, mely a hitelesített felhasználóknak adatlekérdezést és adatmódosítást tesz lehetővé egy metacímtárban. A Windows 2000 rendszerben például az LDAP az adatok elérésére szolgáló egyik protokoll.

A támadó olyan, speciálisan kialakított LDAP-üzenetet küldhet az LSASS szolgáltatásnak, melynek következtében az működésképtelenné válhat.

Az LSASS felületet nyújt a helyi biztonság, a tartományi hitelesítés és az Active Directory folyamatainak kezeléséhez, valamint kezeli az ügyfél és a kiszolgáló hitelesítéseit. Az LSASS része továbbá néhány, az Active Directory segédprogramjait támogató szolgáltatás is.

A biztonsági rést kiaknázó támadó működésképtelenné teheti az LSASS szolgáltatást, és kikényszerítheti a rendszer újraindítását. A megtámadott rendszeren megjelenhet egy üzenet, jelezve, hogy a rendszer egy 60 másodperces visszaszámlálási periódust követően újraindul. Ezalatt a 60 másodperc alatt nem lehet helyi hitelesítést végezni a megtámadott számítógép konzolján, valamint nem lehetséges a felhasználók tartományi hitelesítése az érintett rendszerrel. A 60 másodperc leteltét követően a rendszer automatikusan újraindul. Előfordulhat, hogy ha a felhasználók nem tudnak tartományi hitelesítést végezni az érintett rendszerrel, akkor nem fogják tudni elérni a tartományi erőforrásokat. Az újraindítás után visszatér a megtámadott rendszer normális funkcionalitása. Ettől függetlenül a frissítés telepítéséig az előzőleg megtámadott rendszert újabb szolgáltatásmegtagadási támadások lehetséges célpontjának kell tekinteni.

Bármely név nélküli felhasználó, aki egy speciálisan kialakított LDAP-üzenetet küld az érintett rendszernek, kihasználhatja a biztonsági rést.

A támadó a biztonsági rés kihasználásához különlegesen kialakított LDAP-üzenetet küld egy vagy több erdő tartományvezérlőinek, ezzel potenciálisan veszélyeztetve a tartományhitelesítési kérések kiszolgálását az egész szervezetben. Egy ilyen támadás miatt előfordulhat, hogy az LSASS szolgáltatás működésképtelenné válik, és hogy a megtámadott rendszer újraindul. A speciálisan kialakított LDAP-üzenet küldéséhez a támadónak nincs szüksége a tartományban érvényes felhasználói fiókra. A támadás véghezviteléhez a névtelen hozzáférés elegendő.

Csak a Windows 2000 rendszerű tartományvezérlőkben található meg ez a biztonsági rés.

A tartományvezérlőként működő Windows 2000 rendszereken telepíteni kell a cikkben tárgyalt frissítést, amely megszünteti ezt a biztonsági rést. A frissítés más szerepkörben üzemelő Windows 2000 kiszolgálókon is telepíthető. A Microsoft javasolja a frissítés telepítését minden olyan számítógépen, melyet a jövőben tartományvezérlővé léptethet elő.

A frissítés a biztonsági rés megszüntetéséhez módosítja az LSASS folyamatok speciális kialakítású LDAP-üzeneteket feldolgozó algoritmusát.

• Csak azok a számítógépek érintettek, melyeken az SSL használata engedélyezett. Ezek általában kiszolgálórendszerek. Az SSL támogatása alapértelmezés szerint egyik támadható rendszeren sem engedélyezett. Az SSL protokoll használata webkiszolgálókon azonban széles körben elterjedt az elektronikus kereskedelmi, az online bankügyintézési és egyéb, biztonságos kommunikációt igénylő alkalmazások támogatására.
• A Windows Server 2003 csak akkor van kitéve az e biztonsági résen keresztül intézett támadások veszélyének, ha valamelyik rendszergazda manuálisan engedélyezte a PCT használatát (önmagában az SSL engedélyezése nem okoz problémát).
• Bizonyos helyzetekben az ISA Server 2000 webes közzétételi szolgáltatásai és a Proxy Server 2.0 sikeresen blokkolni tudja a biztonsági rés kihasználására tett erőfeszítéseket. Teszteredmények alapján kijelenthető, hogy az ISA Server 2000 webes közzétételi szolgáltatásai a csomagszűrés használata mellett sikeresen, érdemi mellékhatás nélkül blokkolják az ezzel a biztonsági réssel kapcsolatos támadásokat, ha a csomagszűrés összes lehetőségének használata engedélyezett. A Proxy Server 2.0 szintén sikeresen blokkolja a támadást. A biztonsági frissítés Proxy Server 2.0 rendszeren történő telepítéséig azonban a támadás következtében a Proxy Server 2.0 webes szolgáltatásai működésképtelenné válhatnak, és az érintett számítógépet újra kell indítani.
• A tűzfalakra vonatkozó gyakorlati tanácsok, valamint a szabványos alapértelmezett tűzfal-konfigurációk segítséget nyújtanak a hálózatot érő, a szervezet határain kívülről eredő támadások kivédésében. Gyakorlati tanácsként azt javasoljuk, hogy az internetkapcsolattal rendelkező számítógépeken a lehető legkevesebb port legyen megnyitva.

A Microsoft az alábbi megoldásokat tesztelte. Jóllehet ezek a megoldások magát a biztonsági rést nem szüntetik meg, segítenek kivédeni az ismert támadási módszereket. Ha egy megoldási javaslat csökkenti a rendszer funkcionalitását, azt jelezzük.

• Tiltsa le a PCT támogatását a rendszerleíró adatbázisban.
  Ezt a módszert részletesen dokumentálja a Microsoft Tudásbázis 187498-as számú cikke. (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat). A cikkben taglaltak az alábbiakban foglalhatók össze.
  Az alábbi lépések a PCT 1.0 protokoll letiltásának módját ismertetik; a protokoll letiltása megakadályozza, hogy használatára vonatkozóan az érintett rendszer egyeztetést kezdeményezzen.
  Megjegyzés: A Rendszerleíróadatbázis-szerkesztő helytelen használata komoly hibákat okozhat, amelyek az operációs rendszer újratelepítését tehetik szükségessé. A Microsoft nem garantálja, hogy a Rendszerleíróadatbázis-szerkesztő helytelen használatából fakadó hibák megoldhatók. A Rendszerleíróadatbázis-szerkesztőt csak saját kockázatára használhatja.
  A rendszerleíró adatbázis szerkesztésével kapcsolatos tudnivalókat megtalálja a Rendszerleíróadatbázis-szerkesztő (Regedit.exe) segédprogram súgójának „Kulcsok és értékek módosítása”, valamint a Regedt32.exe program súgójának „Információk törlése és hozzáadása a rendszerleíró adatbázisban” és „A rendszerleíró adatbázis információinak szerkesztése” című témakörében.
  Megjegyzés: Szerkesztése előtt célszerű biztonsági másolatot készíteni a rendszerleíró adatbázisról.
  1. 1. Kattintson a Start menü Futtatás parancsára, a megjelenő párbeszédpanelen lévő mezőbe írja be a „regedt32” parancsot (idézőjelek nélkül), és kattintson az OK gombra.
  2. 2. A Rendszerleíróadatbázis-szerkesztőben keresse meg az alábbi rendszerleíró kulcsot:
     HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server
  3. 3. Kattintson a Szerkesztés menü Azonosító hozzáadása parancsára egy új, REG_BINARY (bináris) típusú, „Enabled” nevű azonosító létrehozásához a Server alkulcsban.
  4. 4. Az Adattípus listában jelölje ki a REG_BINARY elemet.
  5. 5. Az Azonosítónév mezőbe írja be az „Enabled” nevet (idézőjelek nélkül), és kattintson az OK gombra.
     Megjegyzés: Ha már van ilyen azonosító, kattintson rá duplán értékének szerkesztéséhez, és az eljárást folytassa a 6. lépéssel.
  6. 6. A Bináris szerkesztőben állítsa 0 értékre az azonosító értékét a következő karakterlánc beírásával: 00000000.
  7. 7. Kattintson az OK gombra, végül indítsa újra a számítógépet.
     Megjegyzés: A PCT engedélyezéséhez az Enabled rendszerleíró azonosító értékét állítsa a 00000001 értékre, és indítsa újra a számítógépet.

A Microsoft SSL (Secure Sockets Layer) függvénytár részét képező PCT protokollban puffertúlcsordulási hibát okozó biztonsági rés található. A biztonsági rés csak azokat a számítógépeket érinti, melyeken engedélyezett az SSL használata. Egyes esetekben azonban a Windows 2000 rendszerű tartományvezérlők is érintettek lehetnek.
Az SSL protokollt használó összes alkalmazás érintett lehet. Bár az SSL protokollt általában a HTTPS protokollt és a 443-as portot használó Internet Information Services rendszerrel kapcsolatban emlegetik, minden olyan alkalmazás ki van téve a biztonsági rés okozta veszélynek, amely az érintett platformokon használja az SSL protokollt. Ezek közé tartozik – többek között – a Microsoft Internet Information Services 4.0, a Microsoft Internet Information Services 5.0, a Microsoft Internet Information Services 5.1, a Microsoft Exchange Server 5.5, a Microsoft Exchange Server 2000, a Microsoft Exchange Server 2003, a Microsoft Analysis Services 2000 (az SQL Server 2000 része), továbbá a PCT protokollt használó, harmadik féltől származó minden alkalmazás. Az SQL Server 2000 programot a biztonsági rés nem érinti, mivel az automatikusan blokkolja a PCT-kapcsolatokat.
A Windows Server 2003 és az Internet Information Services 6.0 csak akkor van kitéve az e biztonsági résen keresztül intézett támadások veszélyének, ha valamelyik rendszergazda manuálisan engedélyezte a PCT használatát (önmagában az SSL engedélyezése nem okoz problémát).
A rést kihasználó támadó teljesen átveheti az érintett rendszer vezérlését, programokat telepíthet, adatokat tekinthet meg, módosíthat és törölhet, vagy teljes jogosultsággal rendelkező fiókokat hozhat létre.

Az SSL-függvénytár azon eljárása, amellyel a bejövő üzeneteket ellenőrzi.

A Microsoft SSL-függvénytára támogatást tartalmaz különböző, biztonságos kommunikációt lehetővé tévő protokollokhoz. Ezek közé tartozik a TLS 1.0 (Transport Layer Security 1.0), az SSL 3.0 (Secure Sockets Layer 3.0), az SSL egy régebbi, ritkán használt verziója, az SSL 2.0, valamint a PCT 1.0 (Private Communication Technology 1.0) protokoll.
Ezek a protokollok kiszolgáló- és ügyfélrendszerek közötti titkosított kommunikációt tesznek lehetővé. Az SSL segítséget nyújt a nyilvános hálózatokon, például az interneten továbbított információk védelmében. Az SSL támogatásához SSL-tanúsítványra van szükség, melyet a kiszolgálón kell telepíteni. Az SSL protokollról a Microsoft Tudásbázis 245152-es számú cikkében talál további információt. (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

A PCT (Private Communication Technology) a Microsoft és a Visa International által az internetes kommunikáció titkosítására kifejlesztett protokoll. A protokoll az SSL 2.0 szabvány alternatívájaként jött létre, és hasonlít az SSL protokollra. Az üzenetformátumok olyannyira hasonlóak, hogy az SSL protokollt támogató ügyfelekkel kommunikálni tudó kiszolgálók a PCT protokollt támogató ügyfelekkel is kommunikálhatnak.
A PCT egy régebbi protokoll, melyet az SSL 3.0 felváltott, és manapság nem általános a használata. A Microsoft SSL-függvénytára csak a visszamenőleges kompatibilitás érdekében támogatja a PCT protokollt. A napjainkban használt alkalmazások túlnyomó része az SSL 3.0 szabványt használja, így a PCT protokollra nincs szükség. Részletes információkat az MSDN Library webhelyén talál.

A rést kihasználó támadó teljesen átveheti az érintett rendszer vezérlését, programokat telepíthet, adatokat tekinthet meg, módosíthat és törölhet, vagy teljes jogosultsággal rendelkező fiókokat hozhat létre.

Bármely névtelen felhasználó, aki az érintett rendszer valamely SSL protokollt engedélyező szolgáltatásának különlegesen kialakított TCP-üzenetet küldhet, kihasználhatja a biztonsági rést.

A biztonsági rés kiaknázásához a támadónak egy SSL protokollt engedélyező szolgáltatáson keresztül kommunikációt kell kezdeményeznie a megtámadott rendszerrel, és egy külön e célra kialakított TCP-üzenetet kell küldenie ehhez a szolgáltatáshoz. Egy ilyen üzenet a megtámadott szolgáltatásban olyan hibát okozhat, amelynek távoli kódfuttatást tehet lehetővé.
Az érintett rendszerhez a támadó más módon is hozzáférhet. Bejelentkezhet például interaktív módon, vagy egy program segítségével paramétereket küldhet a veszélyeztetett összetevőnek akár a helyi számítógépről, akár távolról.

Az SSL protokollt használó összes alkalmazás érintett lehet. Bár az SSL protokollt általában a HTTPS protokollt és a 443-as portot használó Internet Information Services rendszerrel kapcsolatban emlegetik, minden olyan alkalmazás ki van téve a biztonsági rés okozta veszélynek, amely az érintett platformokon használja az SSL protokollt. Ezek közé tartozik – többek között – az Internet Information Services 4.0, az Internet Information Services 5.0, az Internet Information Services 5.1, az Exchange Server 5.5, az Exchange Server 2000, az Exchange Server 2003, az Analysis Services 2000 (az SQL Server 2000 része), továbbá a PCT protokollt használó, harmadik féltől származó minden alkalmazás. Az SQL Server 2000 programot a biztonsági rés nem érinti, mivel az automatikusan blokkolja a PCT-kapcsolatokat.
A Windows Server 2003 és az Internet Information Services 6.0 csak akkor van kitéve az e biztonsági résen keresztül intézett támadások veszélyének, ha valamelyik rendszergazda manuálisan engedélyezte a PCT használatát (önmagában az SSL engedélyezése nem okoz problémát).
Azokat az Active Directory alapú tartományokat is érinti ez a biztonsági rés, melyekben legfelső szintű vállalati hitelesítésszolgáltató van telepítve, mivel a Windows 2000 rendszerű tartományvezérlők automatikusan figyelik az SSL-kapcsolatok kialakítását kezdeményező kéréseket.

A Windows Server 2003 PCT-implementációjában is megtalálható a más platformokon adott implementációban meglévő puffertúlcsordulás. A PCT protokoll azonban alapértelmezés szerint le van tiltva a Windows Server 2003 operációs rendszerben. Ha a PCT protokollt a rendszerleíró adatbázis megfelelő rendszerleíró kulcsának módosításával engedélyezték, a Windows Server 2003 is ki lehet téve az e biztonsági résen keresztül kezdeményezett támadásoknak. A Microsoft ezért a Windows Server 2003 rendszerhez is kiadott egy biztonsági frissítést, amely – anélkül, hogy a PCT protokollt engedélyezné – kijavítja a puffertúlcsordulást okozó programkódot.

A frissítés a biztonsági rés megszüntetéséhez módosítja a PCT protokoll implementációjában a protokollnak átadott adatokat érvényesítő algoritmust, és letiltja a PCT protokoll használatát.

Igen. Míg a frissítés elsődleges célja a PCT biztonsági résének megszüntetése, további óvintézkedésként a protokoll használatát is letiltja, mivel azt felváltotta az SSL 3.0 protokoll, és használata feleslegessé vált. Ez a viselkedés megfelel a Windows Server 2003 alapértelmezett beállításainak. Ha a rendszergazdáknak szükségük van a PCT használatára, a lehetséges megoldásokat tárgyaló szakaszban ismertetett rendszerleíró kulcs segítségével engedélyezhetik azt.

• Csak olyan Windows NT 4.0, Windows 2000 és Windows XP rendszerek érintettek, melyek tartomány részei. A Windows Server 2003 operációs rendszert nem érinti ez a biztonsági rés.
• A biztonsági rés kihasználásához a támadónak az adott tartományban felhasználói objektumok módosítását lehetővé tevő jogosultságra van szüksége. Rendszerint csak a Rendszergazdák és a Fiókfelelősök csoport tagjai rendelkeznek ezzel az engedéllyel. Előfordulhat azonban, hogy ezzel az engedéllyel a tartomány más felhasználói fiókjai is fel vannak ruházva.
• A tartományok rendszerint támogatják a felhasználói objektumok módosításainak naplózását. A naplórekordok megtekintésével megállapítható, melyik felhasználói fiók módosított támadó szándékkal más felhasználói fiókokat a biztonsági rés kihasználására tett próbálkozásként.

A Microsoft az alábbi megoldásokat tesztelte. Jóllehet ezek a megoldások magát a biztonsági rést nem szüntetik meg, segítenek kivédeni az ismert támadási módszereket. Ha egy megoldási javaslat csökkenti a rendszer funkcionalitását, azt jelezzük.

• Csökkentse a fiókmódosítási jogosultságokkal rendelkező felhasználók számát.
  A biztonsági rés kiaknázásához a támadónak képesnek kell lennie a tartománybeli felhasználói objektumok módosítására. A szervezetek egy része feleslegesen vesz fel felhasználókat a Rendszergazdák vagy a Fiókfelelősök csoportba. Ha például egy ügyfélszolgálati munkatársnak csak a felhasználói jelszavak alaphelyzetbe állításához szükséges jogosultsággal kell rendelkeznie, a rendszergazdának közvetlenül ezzel az engedéllyel kell őt felhatalmaznia, anélkül hogy a munkatársat felvenné a Fiókfelelősök csoportba.
  A rendszergazdai jogosultságokkal rendelkező csoportokba tartozó felhasználói fiókok számának csökkentése segítséget nyújt az ismert támadási módszerek blokkolásához. A rendszergazdai jogosultságokkal rendelkező csoportokba csak megbízható munkatársakat célszerű felvenni. A tartományokkal kapcsolatos gyakorlati tanácsokról további információkat találhat ezen a webhelyen.

Ez a biztonsági rés puffertúlcsordulást okoz. A rést kihasználó támadó teljesen átveheti az érintett rendszer vezérlését, programokat telepíthet, adatokat tekinthet meg, módosíthat és törölhet, vagy teljes jogosultsággal rendelkező fiókokat hozhat létre.

A Winlogon beolvas egy értéket a tartományból, de nem ellenőrzi a beolvasott érték hosszát, mielőtt azt a számára lefoglalt pufferbe helyezné.

A Windows bejelentkezési folyamata (Winlogon) a Windows operációs rendszer egyik összetevője, melynek feladata az interaktív bejelentkezés támogatása. A Winlogon.exe folyamat kezeli a biztonsággal kapcsolatos felhasználói kommunikációt a Windows rendszerekben. A folyamat feladata a bejelentkezési és kijelentkezési kérések kezelése, a rendszer zárolása és zárolásának feloldása, a jelszavak módosítása és egyéb kérések kiszolgálása. A Winlogon a bejelentkezési folyamat során a felhasználói környezet konfigurálásához adatokat olvas be a tartományból. További tudnivalókat a Winlogon folyamatról az MSDN Library webhelyén találhat.

A tartományok a különböző hálózati objektumokkal, például nyomtatókkal, fájlmegosztási helyekkel és személyes adatokkal kapcsolatos információk tárolására szolgálnak. A tartományok létrehozásáról Windows 2000 Server vagy Windows Server 2003 rendszerben ezen a webhelyen talál információkat.

A rést kihasználó támadó teljesen átveheti az érintett rendszer vezérlését, programokat telepíthet, adatokat tekinthet meg, módosíthat és törölhet, vagy teljes jogosultsággal rendelkező fiókokat hozhat létre.

A biztonsági rés kihasználásához a támadónak az adott tartományban felhasználói objektumok módosítását lehetővé tevő jogosultságra van szüksége. Rendszerint csak a Rendszergazdák és a Fiókfelelősök csoport tagjai rendelkeznek ezzel az engedéllyel. Előfordulhat azonban, hogy ezzel az engedéllyel a tartomány más felhasználói fiókjai is fel vannak ruházva. Az engedéllyel nem rendelkező és a névtelen felhasználók nem tudják kihasználni ezt a biztonsági rést.

A támadónak úgy kell módosítania egy tartománybeli értéket, hogy az tartalmazza a támadó szándékú adatrészt. Ha egy ilyen módosított érték kerül a Winlogon ellenőrizetlen pufferébe a bejelentkezési folyamat során, a Winlogon lehetővé teheti a támadó szándékú programkód futását.

Csak olyan Windows NT 4.0, Windows 2000 és Windows XP rendszerek érintettek, melyek tartomány részei.

A frissítés a biztonsági rés eltávolításához módosítja a Winlogon folyamatnak az értékek hosszát a lefoglalt pufferbe helyezésük előtt ellenőrző algoritmusát.

• A támadó csak akkor tudja kihasználni a biztonsági rést, ha rá tud venni egy felhasználót egy speciálisan, ártó szándékkal kialakított fájl megnyitására, vagy a fájlt tartalmazó könyvtár megtekintésére. A támadó nem képes kényszeríteni a felhasználókat a támadó szándékkal készített fájlok megnyitására.
• Web alapú támadás esetén a támadónak olyan webhelyet kell üzemeltetnie, amely egy, a biztonsági rés kihasználását lehetővé tevő weblapot tartalmaz. A támadónak nincs lehetősége arra, hogy a felhasználót a rosszindulatú kódot tartalmazó webhely megnyitására kényszerítse. Ehelyett a támadóknak saját webhelyükre kell csábítaniuk a felhasználókat, ezt pedig rendszerint egy kifejezetten ezt a célt szolgáló hivatkozás segítségével érik el.
• Ha egy támadó kihasználja a biztonsági rést, a felhasználóéval azonos jogosultságokhoz juthat. A kevesebb jogosultságra beállított fiókkal rendelkező felhasználók esetében kisebb a veszélyeztetettség, mint a rendszergazdai jogosultságokkal bíróknál.
• A Windows Server 2003 operációs rendszert nem érinti ez a biztonsági rés.

A Microsoft az alábbi megoldásokat tesztelte. Jóllehet ezek a megoldások magát a biztonsági rést nem szüntetik meg, segítenek kivédeni az ismert támadási módszereket. Ha egy megoldási javaslat csökkenti a rendszer funkcionalitását, azt jelezzük.

• Outlook 2002 vagy újabb, illetve SP1 vagy újabb szervizcsomaggal bővített Outlook Express 6 program használata esetén az e-mail üzeneteket egyszerű szöveges formátumban olvassa el, így kivédheti a HTML formátumú üzenetek okozta veszélyeket.
  A Microsoft Outlook 2002 azon felhasználói, akik telepítik az Office XP Service Pack 1 vagy újabb szervizcsomagját, valamint a Microsoft Outlook Express 6 azon felhasználói, akik telepítik az Internet Explorer 6 Service Pack 1 szervizcsomagját, engedélyezhetik ezt a beállítást. A beállítás engedélyezése esetén minden digitálisan alá nem írt, titkosítatlan e-mail üzenet egyszerű szöveges formátumban jelenik meg.
  A digitálisan aláírt vagy titkosított e-mail üzeneteket nem érinti a beállítás, így eredeti formátumukban olvashatók. Ha többet szeretne tudni arról, hogy miként engedélyezheti a beállítást az Outlook 2002 alkalmazásban, olvassa el a Microsoft Tudásbázis 307594-es számú cikkét. (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
  Ha többet szeretne tudni arról, hogy miként engedélyezheti a beállítást az Outlook Express 6 alkalmazásban, olvassa el a Microsoft Tudásbázis 291387-es számú cikkét.
  A megoldás hatása:
  
  Az egyszerű szöveges formátumban megjelenített e-mail üzenetek nem tartalmaznak képeket, különleges betűtípusokat, animációkat, sem egyéb formázható tartalmat. Emellett:
  • A program a változtatásokat az előnézeti képre és a nyitott üzenetekre alkalmazza.
  • A képek mellékletekké válnak, így nem vesznek el.
  • Mivel az üzenet továbbra is Rich Text vagy HTML formátumban lesz tárolva, az objektummodell (az egyéni kódmegoldások összessége) váratlan műveleteket hajthat végre.

Ez a biztonsági rés puffertúlcsordulást okoz. A rést kihasználó támadó teljesen átveheti az érintett rendszer vezérlését, programokat telepíthet, adatokat tekinthet meg, módosíthat és törölhet, vagy teljes jogosultsággal rendelkező fiókokat hozhat létre.

A Windows Metafile (WMF) és Enhanced Metafile (EMF) képformátumot megjelenítő algoritmusban található ellenőrizetlen puffer.

A WMF vektorgrafikus és bittérképes képek ábrázolására alkalmas, 16 bites metafájlformátum, mely a Windows operációs rendszerhez van optimalizálva.
A EMF vektorgrafikus és bittérképes képek ábrázolására alkalmas, 32 bites metafájlformátum. Az EMF a WMF formátum továbbfejlesztése, mely kibővíti az utóbbi lehetőségeit.
További információt a képtípusokról és képformátumokról a Microsoft Tudásbázis 320314-es számú cikkében talál. (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.) Az említett fájlformátumokról emellett az MSDN Library webhelyén is olvashat.

A rést kihasználó támadó teljesen átveheti az érintett rendszer vezérlését, programokat telepíthet, adatokat tekinthet meg, módosíthat és törölhet, vagy teljes jogosultsággal rendelkező fiókokat hozhat létre.

A fertőzött képet megjelenítő programok mindegyike ki van téve a biztonsági résen keresztül kezdeményezett támadások veszélyének. Néhány példa:

• A támadó egy ártó szándékkal létrehozott webhelyet alakít ki, melynek célja a biztonsági rés kihasználása az Internet Explorer 6 böngészőn keresztül, majd ráveszi a felhasználót a webhely megtekintésére.
• A támadó olyan HTML alapú e-mail üzenetet készít, melyhez csatolja a speciálisan, ártó szándékkal létrehozott képet. A speciálisan kialakított kép célja lehet, hogy a biztonsági rést az Outlook 2002 vagy az Outlook Express 6 alkalmazásokon keresztül kiaknázza. A támadó rábírhatja a felhasználót a HTML formátumú e-mail üzenet megtekintésére.
• A támadó beágyazza a támadó szándékkal, különlegesen kialakított képet egy Office dokumentumba, majd rábírja a felhasználót a dokumentum megtekintésére.
• A támadó az ártó szándékkal kialakított képet a helyi fájlrendszerben vagy egy hálózati megosztáson elhelyezi, majd rábírja a Windows XP rendszert futtató felhasználót, hogy a Windows Intézőben tekintse meg a könyvtár tartalmát.

A támadó csak akkor tudja kihasználni a biztonsági rést, ha rá tud venni egy felhasználót egy speciálisan, ártó szándékkal kialakított fájl megnyitására, vagy a fájlt tartalmazó könyvtár megtekintésére. A támadó nem képes kényszeríteni a felhasználókat a támadó szándékkal készített fájlok megnyitására.
Web alapú támadás esetén a támadónak olyan webhelyet kell üzemeltetnie, amely egy, a biztonsági rés kihasználását lehetővé tevő weblapot tartalmaz. A támadónak nincs lehetősége arra, hogy a felhasználót a rosszindulatú kódot tartalmazó webhely megnyitására kényszerítse. Ehelyett a támadóknak saját webhelyükre kell csábítaniuk a felhasználókat, ezt pedig rendszerint egy kifejezetten ezt a célt szolgáló hivatkozás segítségével érik el.

A frissítés a biztonsági rés megszüntetése érdekében módosítja a Windows érintett képtípusokat érvényesítő algoritmusát.

• Web alapú támadás esetén a támadónak olyan webhelyet kell üzemeltetnie, amely egy, a biztonsági rés kihasználását lehetővé tevő weblapot tartalmaz. A támadónak nincs lehetősége arra, hogy a felhasználót a rosszindulatú kódot tartalmazó webhely megnyitására kényszerítse. Ehelyett a támadóknak saját webhelyükre kell csábítaniuk a felhasználókat, ezt pedig rendszerint egy kifejezetten ezt a célt szolgáló hivatkozás segítségével érik el.
• Az Outlook Express 6, az Outlook 2002 és az Outlook 2003 alkalmazás alapértelmezés szerint a Tiltott helyek zónában nyitja meg a HTML alapú e-maileket. Ha telepítve van az Outlook levelezésbiztonsági frissítése, az Outlook 98 és az Outlook 2000 alkalmazás is a Tiltott helyek zónában nyitja meg a HTML alapú e-maileket. A Tiltott helyek zóna segítségével csökkentheti az e biztonsági rés kihasználását megkísérlő támadások számát.
  A HTML alapú levelezésből adódó támadások veszélye lényegesen csökkenthető az alábbi feltételek együttállásával.
  • Telepítse az MS04-004-esMS04-004-es
  • Használja az Internet Explorer 6-os vagy újabb verzióját.
  • Telepítse a Microsoft Outlook levelezésbiztonsági frissítését, használja a Microsoft Outlook Express 6-os vagy újabb verzióját, vagy használja a Microsoft Outlook 2000 Service Pack 2 vagy újabb szervizcsomaggal frissített verzióját annak alapértelmezett konfigurációjával.
• Ha egy támadó kihasználja a biztonsági rést, a felhasználóéval azonos jogosultságokhoz juthat. A kevesebb jogosultságra beállított fiókkal rendelkező felhasználók esetében kisebb a veszélyeztetettség, mint a rendszergazdai jogosultságokkal bíróknál.
• A biztonsági rés nem érinti továbbá a Windows NT 4.0 és a Windows 2000 operációs rendszert.

A Microsoft az alábbi megoldásokat tesztelte. Jóllehet ezek a megoldások magát a biztonsági rést nem szüntetik meg, segítenek kivédeni az ismert támadási módszereket. Ha egy megoldási javaslat csökkenti a rendszer funkcionalitását, azt jelezzük.

• Törölje a HCP protokoll regisztrációját.
  A támadások megelőzése érdekében távolítsa el a HCP protokoll regisztrációját a HKEY_CLASSES_ROOT\HCP rendszerleíró kulcs törlésével. Ehhez kövesse az alábbi lépéseket:
  1. 1. Kattintson a Start menü Futtatás parancsára.
  2. 2. Írja be a regedit parancsot, és kattintson az OK gombra.
     Ekkor elindul a Rendszerleíróadatbázis-szerkesztő segédprogram.
  3. 3. Bontsa ki a HKEY_CLASSES_ROOT elemet, és jelölje ki a HCP kulcsot.
  4. 4. Kattintson jobb gombbal a HCP kulcsra, majd a Törlés parancsra.
  Megjegyzés: A Rendszerleíróadatbázis-szerkesztő helytelen használata komoly hibákat okozhat, amelyek a Windows újratelepítését tehetik szükségessé. A Microsoft nem garantálja, hogy a Rendszerleíróadatbázis-szerkesztő helytelen használatából fakadó hibák megoldhatók. A Rendszerleíróadatbázis-szerkesztőt csak saját kockázatára használhatja.
  A megoldás hatása: A HCP protokoll regisztrációjának eltávolítása következtében nem fognak működni a hcp:// protokollmegjelölést használó helyi, hiteles (valódi) súgóhivatkozások. Nem fognak működni például a Vezérlőpult hivatkozásai.
• Telepítse az Outlook alapú levelezés biztonsági frissítését, ha az Outlook 2000 SP1 programot vagy a levelezőprogram egy korábbi verzióját használja.
  Az Outlook Express 6, az Outlook 2002 és az Outlook 2003 program alapértelmezés szerint a Tiltott helyek zónában nyitja meg a HTML alapú e-maileket. Ha telepítve van az Outlook levelezésbiztonsági frissítése, az Outlook 98 és az Outlook 2000 alkalmazás is a Tiltott helyek zónában nyitja meg a HTML alapú e-maileket.
  Az ezen programokat használók valószínűleg kisebb veszélynek vannak kitéve az e-mail alapú támadások szempontjából mindaddig, amíg a felhasználó a rosszindulatú e-mailben elhelyezett hivatkozásra nem kattint.
• Outlook 2002 vagy újabb, illetve SP1 vagy újabb szervizcsomaggal bővített Outlook Express 6 program használata esetén az e-mail üzeneteket egyszerű szöveges formátumban olvassa el, így kivédheti a HTML formátumú üzenetek okozta veszélyeket.
  A Microsoft Outlook 2002 azon felhasználói, akik telepítik az Office XP Service Pack 1 vagy újabb szervizcsomagját, valamint a Microsoft Outlook Express 6 azon felhasználói, akik telepítik az Internet Explorer 6 Service Pack 1 szervizcsomagját, engedélyezhetik ezt a beállítást. A beállítás engedélyezése esetén minden digitálisan alá nem írt, titkosítatlan e-mail üzenet egyszerű szöveges formátumban jelenik meg.
  A digitálisan aláírt vagy titkosított e-mail üzeneteket nem érinti a beállítás, így eredeti formátumukban olvashatók. Ha többet szeretne tudni arról, hogy miként engedélyezheti a beállítást az Outlook 2002 alkalmazásban, olvassa el a Microsoft Tudásbázis 307594-es számú cikkét. (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
  Ha többet szeretne tudni arról, hogy miként engedélyezheti a beállítást az Outlook Express 6 alkalmazásban, olvassa el a Microsoft Tudásbázis 291387-es számú cikkét.
  A megoldás hatása: Az egyszerű szöveges formátumban megjelenített e-mail üzenetek nem tartalmaznak képeket, különleges betűtípusokat, animációkat, sem egyéb formázható tartalmat. Emellett:
  • A program a változtatásokat az előnézeti képre és a nyitott üzenetekre alkalmazza.
  • A képek mellékletekké válnak, így nem vesznek el.
  • Mivel az üzenet továbbra is Rich Text vagy HTML formátumban lesz tárolva, az objektummodell (az egyéni kódmegoldások összessége) váratlan műveleteket hajthat végre.

A Súgó és támogatás távoli programkódfuttatásra lehetőséget adó biztonsági rést tartalmaz. A Súgó és támogatás szolgáltatás az érintett rendszerek része. A biztonsági rést a Súgó és támogatás HCP URL-címeket kezelő algoritmusa okozza.

A probléma távolról történő kódfuttatást tehet lehetővé. Ha egy támadó kihasználja a biztonsági rést, teljes mértékben átveheti a rendszer irányítását. A támadó bármilyen műveletet végrehajthat a rendszeren, azaz programokat telepíthet, adatokat tekinthet meg, módosíthat és törölhet, továbbá teljes jogosultságokkal rendelkező új fiókokat hozhat létre.

A Súgó és támogatás adatbemeneteket érvényesítő folyamata.

A Windows rendszerek részeként működő Súgó és támogatás különböző témakörökben nyújt segítséget. Bemutatja például a Windows szolgáltatásait, a szoftverfrissítések letöltésének és telepítésének módját, ismerteti, hogyan állapítható meg, hogy egy adott hardvereszköz kompatibilis-e a Windows rendszerrel, vagy hogy miként igényelhető segítségnyújtás a Microsofttól. A felhasználók és a programok URL formátumú hivatkozásokkal is elérhetik a Súgó és támogatás összetevőt, amihez a „http://” előtag helyett a „hcp://” előtagot kell használni a szóban forgó URL-címekben.

Ahogy a HTTP protokoll alkalmas az URL-címek webböngészőbeli megnyitására, a HCP alkalmas az URL-címek megnyitására a Súgó és támogatás szolgáltatásban.

Hiba történik a bemenet ellenőrzése során.

A rést kihasználó támadó teljesen átveheti az érintett rendszer vezérlését, programokat telepíthet, adatokat tekinthet meg, módosíthat és törölhet, vagy teljes jogosultsággal rendelkező fiókokat hozhat létre.

A biztonsági rés kihasználásához a támadónak egy ártó szándékkal létrehozott webhelyet kell üzemeltetnie, és rá kell vennie a felhasználót e webhely meglátogatására. A támadó HTML alapú, kifejezetten az említett célra szolgáló hivatkozást tartalmazó e-mailt is létrehozhat, és az e-mail felhasználó általi megtekintése révén érheti el, hogy a felhasználó a félrevezető hivatkozásra kattintson. Ha egy felhasználó a hivatkozásra kattint, az Internet Explorer egy új ablakban megnyitja a támadó választása szerinti HCP URL-címet, mely aztán tetszőleges programkód végrehajtására adhat lehetőséget a támadónak.

A Súgó és támogatás e biztonsági résben érintett verzióját a Windows XP és a Windows Server 2003 operációs rendszer tartalmazza. A Windows NT 4.0 és Windows 2000 rendszerekre nem jelent veszélyt ez a biztonsági rés, mivel nem tartalmazzák a Súgó és támogatás szolgáltatást.

Nem. Az Internet Explorer böngésző Windows Server 2003 rendszeren alapértelmezés szerint korlátozott üzemmódban (fokozott biztonsági beállításokkal) működik. A HCP protokollon keresztül azonban alapértelmezés szerint elérhető a Súgó és támogatás, így a Windows Server 2003 is támadható ezen a biztonsági résen keresztül.
Az Internet Explorer fokozott biztonsági beállításairól további információt talál ezen a webhelyen.

A frissítés a Súgó és támogatás szolgáltatásnak átadott adatok érvényesítési mechanizmusának módosításával megszünteti a biztonsági rést.

• A támadó csak érvényes bejelentkezési adatok birtokában használhatja ki a biztonsági rést. Névtelen felhasználók nem tudják kiaknázni ezt a biztonsági rést.
• A biztonsági rés nem érinti a Windows NT 4.0, a Windows XP és a Windows Server 2003 operációs rendszert. A Windows NT 4.0 nem tartalmazza a Segédprogram-kezelőt.
• A Windows 2000 rendszer biztonságának megerősítésével foglalkozó Windows 2000 Hardening Guide című dokumentum javasolja a Segédprogram-kezelő szolgáltatás letiltását. Az említett útmutatóban körvonalazott irányelveknek megfelelő rendszerekben a biztonsági rés jelentette kockázat alacsonyabb.

A Microsoft az alábbi megoldásokat tesztelte. Jóllehet ezek a megoldások magát a biztonsági rést nem szüntetik meg, segítenek kivédeni az ismert támadási módszereket. Ha egy megoldási javaslat csökkenti a rendszer funkcionalitását, azt jelezzük.

• Szoftverházirendek használatával tiltsa le a Segédprogram-kezelőt minden olyan érintett rendszeren, amelyen nincs kifejezetten szüksége erre a szolgáltatásra.
  Mivel a Segédprogram-kezelő egy lehetséges támadási felület, tiltsa le azt az Active Directory vagy a Helyi biztonsági házirend szoftverkorlátozó házirendjeivel. A Segédprogram-kezelő folyamat neve Utilman.exe. Az alábbi útmutatókból megtudhatja, hogyan akadályozhatja meg, hogy a felhasználók elérjék ezt a fájlt:
  • Védekezés a nem hitelesített szoftverek ellen szoftverkorlátozó házirendekkel (előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat)
  • A Microsoft Tudásbázis 324026-os számú cikke (előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat)
  • A számítógép vírusok elleni védelme szoftverkorlátozó házirendekkel (előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat)
  • Új szoftverkorlátozó házirendek létrehozása (előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat)
  Megjegyzés: Érdemes tanulmányozni a Windows 2000 biztonságának megerősítéséhez készült, Windows 2000 Hardening Guide című útmutatót is. Az útmutatóban a Segédprogram-kezelő letiltásáról is találhatók információk.
  A megoldás hatása: A Segédprogram-kezelővel egyszerűen elérhető az operációs rendszer sok kisegítő szolgáltatása. A korlátozások feloldásáig le kell mondani e szolgáltatások elérésének erről az egyszerű módjáról. A kisegítő szolgáltatások nagy részének kézi indításáról ezen a webhelyen talál felvilágosítást.

Ez a hiba illetéktelen jogosultságok megszerzéséhez vezethet. A rést kihasználó támadó teljesen átveheti az érintett rendszer vezérlését, programokat telepíthet, adatokat tekinthet meg, módosíthat és törölhet, vagy teljes jogosultsággal rendelkező fiókokat hozhat létre.

A Segédprogram-kezelő alkalmazásindító mechanizmusa. A Segédprogram-kezelő rendszerszintű jogosultságokkal indíthat el alkalmazásokat.

A Segédprogram-kezelő egy kisegítő eszköz, amely lehetővé teszi a felhasználóknak a kisegítő programok, például a Microsoft Nagyító, a Windows Narrátor és a Képernyő-billentyűzet állapotának ellenőrzését, valamint e programok indítását és leállítását.

A rést kihasználó támadó teljesen átveheti az érintett rendszer vezérlését, programokat telepíthet, adatokat tekinthet meg, módosíthat és törölhet, vagy teljes jogosultsággal rendelkező fiókokat hozhat létre.

A támadónak képesnek kell lenni bejelentkezni a rendszerbe, majd a Segédprogram-kezelő indítása után egy olyan program futtatására, mely egy kifejezetten e célra, különlegesen kialakított üzenetet küld a Segédprogram-kezelőnek a biztonsági rés kihasználására tett próbálkozásként.

A biztonsági rés kihasználásához a támadónak először el kell indítania a Segédprogram-kezelőt a Windows 2000 rendszeren, majd futtatnia kell egy, kifejezetten a biztonsági rés kihasználására készített alkalmazást. A Windows 2000 alapértelmezett konfigurációjában a Segédprogram-kezelő telepítve van, de nem fut. A biztonsági rés lehetővé teheti, hogy a támadó teljes vezérlést gyakoroljon a Windows 2000 rendszer felett.

A biztonsági rés csak a Windows 2000 rendszert érinti. Az elsődleges kockázathordozók a Windows 2000 rendszerű munkaállomások és terminálkiszolgálók. A kiszolgálókat csak akkor fenyegeti veszély, ha olyan felhasználók jelentkezhetnek be és futtathatnak programokat, akik nem rendelkeznek elégséges rendszergazdai jogosultságokkal. Ezt azonban a gyakorlati tanácsok értelmében feltétlenül kerülni kell.

Igen. A Segédprogram-kezelőt az operációs rendszer telepítője alapértelmezés szerint telepíti, és használatát engedélyezi. A Segédprogram-kezelő azonban alapértelmezés szerint nem fut.

Nem. A támadónak be kell tudnia jelentkezni a támadás célpontjául kitűzött rendszerbe. E biztonsági rés következményeként a támadók nem képesek programok távoli betöltésére és futtatására.

A frissítés a biztonsági rés eltávolításához módosítja a Segédprogram-kezelő alkalmazásindító mechanizmusát.

• A támadó csak érvényes bejelentkezési adatok birtokában használhatja ki a biztonsági rést. Névtelen felhasználók nem tudják kiaknázni ezt a biztonsági rést.
• A biztonsági rés nem érinti a Windows NT 4.0, a Windows 2000 és a Windows Server 2003 operációs rendszert.

A Microsoft az alábbi megoldásokat tesztelte. Jóllehet ezek a megoldások magát a biztonsági rést nem szüntetik meg, segítenek kivédeni az ismert támadási módszereket. Ha egy megoldási javaslat csökkenti a rendszer funkcionalitását, azt jelezzük.

Törölje az érintett WMI-szolgáltatót.

Egy helyi rendszergazdai engedélyekkel rendelkező rendszergazdának az érintett WMI-szolgáltató törléséhez a következő parancsfájlkód-részletet egy .vbs kiterjesztésű szövegfájlba kell beillesztenie, majd futtatnia kell a fájlt.

Az érintett WMI-szolgáltató törlése:

      set ofolyamat = getobject("winmgmts:root\cimv2")
      set ofeladatindító = ofolyamat.get("__win32provider='cmdtriggerconsumer'")
      ofeladatindító.delete_                                                      
                                       

A frissítés telepítése során automatikusan megtörténik az érintett WMI-szolgáltató ismételt regisztrálása. A frissítés telepítését követően nincs szükség további lépésekre a rendszer szokásos funkcionalitásának visszaállításához.

A megoldás hatása: Az eseményvezérelt feladatindítóként létrehozott feladatok nem fognak működni a szolgáltató regisztrálásáig. Az eseményvezérelt feladatindítókról további tudnivalókat talál ezen a webhelyen.

Megjegyzés: Ritkán előfordulhat, hogy a Windows XP újraregisztrálja a tárgyalt WMI-szolgáltatót. Ha például a Windows XP a WMI-tárház sérülését érzékeli, ezt a WMI-szolgáltatót is megpróbálhatja újraregisztrálni.

Ez a hiba illetéktelen jogosultságok megszerzéséhez vezethet. A rést kihasználó támadó teljesen átveheti az érintett rendszer vezérlését, programokat telepíthet, adatokat tekinthet meg, módosíthat és törölhet, vagy teljes jogosultsággal rendelkező fiókokat hozhat létre.

Speciális körülmények esetén egy megfelelő jogosultságokkal nem rendelkező felhasználónak lehetősége nyílhat egy rendszerszintű engedélyekkel végrehajtott feladat létrehozására a Microsoft Windows XP rendszerben.

A rést kihasználó támadó teljesen átveheti az érintett rendszer vezérlését, programokat telepíthet, adatokat tekinthet meg, módosíthat és törölhet, vagy teljes jogosultsággal rendelkező fiókokat hozhat létre.

A biztonsági rés kihasználásához a támadónak be kell jelentkeznie a rendszerbe, és képesnek kell lennie egy feladat létrehozására. Mivel a támadónak érvényes bejelentkezési adatokkal kell rendelkeznie a biztonsági rés kihasználásához, a távoli rendszerekre ez a biztonsági rés nem jelent veszélyt.

A biztonsági rés csak a Windows XP rendszert érinti.

A frissítés a biztonsági rés megszüntetéséhez megakadályozza a felhasználókat emelt szintű jogosultságokkal rendelkező feladatok létrehozásában.

Igen. A frissítés az alábbi funkcionalitásbeli módosításokat is elvégzi:

• A frissítést megelőzően a felhasználók bizonyos esetekben az Eventtriggers.exe parancssori eszközzel felhasználónév és jelszó megadása nélkül is létrehozhattak eseményvezérelt feladatindítókat. A frissítés telepítése után a felhasználók az Eventttrigers.exe eszközzel csak érvényes felhasználónév és jelszó birtokában hozhatnak létre eseményvezérelt feladatindítókat. Az Eventttrigers.exe parancssori kapcsolóiról ezen a webhelyen talál részletes felvilágosítást.
• A rendszergazdák korábban akkor is létrehozhattak eseményvezérelt feladatindítókat, ha a Feladatütemező szolgáltatás le volt tiltva, vagy le volt állítva. A frissítés telepítését követően a Feladatütemező szolgáltatásnak futni kell e művelet végrehajtásához. A Feladatütemezőről további tudnivalókat talál ezen a webhelyen.
• A frissítés a feladatindítók maximális számát 1000 feladatindítóra korlátozza. A korábban létrehozott eseményvezérelt feladatindítókat ez a korlátozás nem érinti, azok a frissítés telepítése után is működni fognak. Újabb eseményvezérelt azonosítók azonban nem hozhatók létre ilyen esetekben.
• A frissítés telepítését követően létrehozott eseményvezérelt feladatindítókra vonatkozó engedélyek szigorodtak.

• A támadónak a biztonsági rés kihasználásához érvényes bejelentkezési adatokkal kell rendelkeznie, és képesnek kell lennie helyileg bejelentkezni a rendszerbe. A biztonsági rés távolról kezdeményezett támadásokkal nem használható ki.
• A Windows XP és a Windows Server 2003 rendszert nem érinti a biztonsági rés.

Ez a hiba illetéktelen jogosultságok megszerzéséhez vezethet. A rést kihasználó támadó teljesen átveheti az érintett rendszer vezérlését, programokat telepíthet, adatokat tekinthet meg, módosíthat és törölhet, vagy teljes jogosultsággal rendelkező fiókokat hozhat létre.

A helyi leírótábla bejegyzéseinek létrehozására szolgáló programozási felület hibája. A tábla bejegyzései memóriaszegmensekkel kapcsolatos információkat tartalmaznak. A támadó egy rosszindulatú bejegyzés létrehozásával hozzáférést szerezhet a védett kernelmemóriához.

A helyi leírótábla (Local Descriptor Table – LDT) leíróknak nevezett bejegyzésekből áll. Egy-egy leíró a memória egy-egy szegmensét definiáló információt tartalmaz.

A programozási felületnek nem lenne szabad engednie a memória védett területeire mutató bejegyzések létrehozását a helyi leírótáblában.

Ha egy támadó kihasználja a biztonsági rést, teljes mértékben átveheti a rendszer vezérlését. A támadó bármilyen műveletet végrehajthat a rendszeren, azaz programokat telepíthet, adatokat tekinthet meg, módosíthat és törölhet, továbbá teljes jogosultságokkal rendelkező új fiókokat hozhat létre.

A biztonsági rést csak olyan támadók használhatják ki, akik helyileg be tudnak jelentkezni a rendszerbe, és egy kifejezetten a biztonsági rés kihasználására készített programot futtatnak.

A biztonsági rés kihasználásához a támadónak először be kell jelentkeznie a rendszerbe, majd egy olyan, kifejezetten e célra készített programot kell futtatnia, mely képes a biztonsági rés kihasználására, és ily módon a támadó teljes mértékben átveheti a megtámadott rendszer vezérlését.

Az elsődleges kockázathordozók a munkaállomások és a terminálkiszolgálók. A kiszolgálókat csak akkor fenyegeti veszély, ha olyan felhasználók jelentkezhetnek be és futtathatnak programokat, akik nem rendelkeznek elégséges rendszergazdai jogosultságokkal. Ezt azonban a gyakorlati tanácsok értelmében feltétlenül kerülni kell.

Nem. A támadónak be kell tudnia jelentkezni a támadás célpontjául kitűzött rendszerbe. E biztonsági rés következményeként a támadók nem képesek programok távoli betöltésére és futtatására.

A frissítés a biztonsági rés eltávolításához módosítja a helyi leírótábla bejegyzéseinek létrehozására szolgáló algoritmust.

• A biztonsági rés kihasználásához általában futnia kell a NetMeeting alkalmazásnak (mely használja a H.323 protokollt).
• Az Internetkapcsolat tűzfala szolgáltatást használó, H.323 protokoll alapú alkalmazásokat nem futtató alkalmazásokra általában nem jelent kockázatot ez a biztonsági rés.
• A Windows NT 4.0 rendszert csak akkor érinti a biztonsági rés, ha egy rendszergazda manuálisan telepítette a NetMeeting önálló verzióját.

A Microsoft az alábbi megoldásokat tesztelte. Jóllehet ezek a megoldások magát a biztonsági rést nem szüntetik meg, segítenek kivédeni az ismert támadási módszereket. Ha egy megoldási javaslat csökkenti a rendszer funkcionalitását, azt jelezzük.

• Blokkolja a tűzfalban az 1720-as és az 1503-as TCP-port bejövő és kimenő forgalmát.
  A tűzfalakra vonatkozó gyakorlati tanácsok, valamint a szabványos alapértelmezett tűzfal-konfigurációk segítséget nyújtanak a hálózatot érő, a szervezet határain kívülről eredő támadások kivédésében. Gyakorlati tanácsként azt javasoljuk, hogy az internetkapcsolattal rendelkező számítógépeken a lehető legkevesebb port legyen megnyitva. A Microsoft azt javasolja, hogy az internet felől bejövő összes kéretlen adatforgalmat tiltsa le, ezzel megakadályozhatja az esetleg más portokon keresztül történő támadásokat.
  A megoldás hatása: Ha az 1503-as és 1720-as TCP-port bejövő és kimenő forgalma is blokkolva van, a felhasználók nem tudnak csatlakozni az Internet Locator Service (ILS) szolgáltatáshoz és más NetMeeting-ügyfelekhez.

Ez a biztonsági rés puffertúlcsordulást okoz. A rést kihasználó támadó teljesen átveheti az érintett rendszer vezérlését, programokat telepíthet, adatokat tekinthet meg, módosíthat és törölhet, vagy teljes jogosultsággal rendelkező fiókokat hozhat létre.

A H.323 protokoll Microsoft által adott implementációjának ellenőrizetlen puffere.

A H.323 a személyi számítógépek, különböző berendezések és multimédia-szolgáltatások garantált szolgáltatásbiztonsági szintet nem nyújtó hálózatokon (például az interneten) keresztüli kommunikációját specifikáló ITU-szabvány. A H.323 rendszerű terminálok és berendezések alkalmasak valós idejű videó, hang és egyéb adatok, valamint ezek tetszőleges kombinációjának átvitelére. Az audio- és videoadatok átvitelére a H.323 protokollt használó termékek lehetővé teszik, hogy a felhasználók az interneten keresztül más személyekkel kapcsolatot teremtsenek és kommunikáljanak, csakúgy, mint ahogy az emberek különböző gyártmányú telefonkészülékekkel kommunikálnak telefonvonalakon keresztül.

A H.323 protokollt számos Microsoft-alkalmazás és operációsrendszer-összetevő használja. A probléma azokat a rendszereket érintheti, melyeken fut az alábbi szolgáltatások és alkalmazások valamelyike:

• TAPI alapú alkalmazások
• NetMeeting
• Internetkapcsolat tűzfala
• Internetkapcsolat megosztása
• A Microsoft Útválasztás és távelérés szolgáltatás (RRAS)

A Windows TAPI (telefonos szolgáltatások fejlesztői felülete) a Windows Open System Architecture specifikáció része. A TAPI használatával a fejlesztők telefonos alkalmazásokat készíthetnek. A TAPI a világ telefónia és számítástechnika köré csoportosuló közösségeinek mérvadó és folyamatos tanácsai és javaslatai alapján definiált nyílt ipari szabvány. Mivel a TAPI szabvány hardverfüggetlen, a vele kompatibilis alkalmazások a legkülönbözőbb típusú személyi számítógépeken és telefonos hardvereszközökön futhatnak, és a hálózati megoldások széles skáláját támogathatják. A TAPI implementálja a H.323 protokollt. Az értesítésben tárgyalt biztonsági rés a TAPI felületet használó alkalmazásokra jelent veszélyt.

Windows 2000 és Windows XP rendszeren alapértelmezés szerint a Microsoft Tárcsázó az egyetlen telepített, TAPI alapú, H.323 protokollt használó alkalmazás. A harmadik féltől származó alkalmazások engedélyezhetik és használhatják a TAPI H.323 protokollal kapcsolatos funkcióit.
Megjegyzés: A Microsoft Tárcsázó nem része a Windows Server 2003 rendszernek.

A NetMeeting teljes körű internetes és vállalati szintű konferenciamegoldást nyújt minden Windows-felhasználó számára. A szolgáltatások között többpontos adatkonferencia, szöveges csevegés, faliújság, fájlátvitel, valamint pont-pont elvű audio- és videoátvitel található. A NetMeeting is használja a H.323 protokollt, és alapértelmezés szerint telepítődik, de alapértelmezés szerint az érintett rendszerek egyikén sem fut.

Igen. A NetMeeting futtatása esetén a rendszer megtámadható ezen a biztonsági résen keresztül.

Igen, hacsak az 1720-as és az 1503-as TCP-port nincs blokkolva a rendszerben.

A NetMeeting a Windows 2000, a Windows XP és a Windows Server 2003 operációs rendszerek része. Ez a frissítés a NetMeeting ezen operációs rendszerekkel szállított verzióihoz készült. A NetMeeting azonban különálló alkalmazásként is letölthető más operációs rendszerekhez, valamint más alkalmazások részeként, melyeket a biztonsági rés szintén érinthet. Ha telepítette a NetMeeting önálló kiadását, telepítse az alkalmazásnak a biztonsági rést megszüntető, frissített verzióját. A frissített verzió erről a webhelyről tölthető le.

Nem. Bár ezek az operációs rendszerek is tartalmazhatják a NetMeeting alkalmazást, a biztonsági rés ezeket az operációs rendszereket nem érinti kritikus mértékben. A biztonsági rés megszüntetéséhez erről a webhelyről letöltheti és telepítheti a NetMeeting ezen operációs rendszerekhez készült önálló verzióját. A biztonsági rések súlyosságának megállapításáról további információkat találhat ezen a webhelyen.

Az Internetkapcsolat tűzfala alapszintű behatolásvédelmi funkciókat szolgáltat a Windows XP és Windows Server 2003 alapú rendszereken. A szolgáltatás olyan rendszerekhez készült, melyek közvetlenül csatlakoznak nyilvános hálózatokhoz, vagy amelyek az internetkapcsolat megosztása révén otthoni hálózat részei.

Önmagában e tény miatt nem, azonban a NetMeeting használata esetén akkor is kihasználható lehet a biztonsági rés, ha fut az Internetkapcsolat tűzfala. A NetMeeting olyan portokat nyit meg az Internetkapcsolat tűzfala szolgáltatásban, melyeken keresztül a biztonsági rés kiaknázható.
Az 1720-as és az 1503-as TCP-port kézi megnyitása is a rendszer támadhatóságát eredményezi. A külső féltől származó alkalmazások szintén kérhetik az Internetkapcsolat tűzfalát, hogy a H.323 protokollon alapuló kommunikációhoz nyisson meg portokat.

Az internetkapcsolat megosztása révén a felhasználóknak lehetőségük van arra, hogy egyetlen rendszert csatlakoztassanak az internethez, és az internetszolgáltatást az otthoni vagy kis irodai hálózathoz csatlakozó többi rendszerrel is megosszák. A Windows XP Hálózat beállítása varázslója automatikusan elvégzi a hálózat beállítását ahhoz, hogy egyetlen internetkapcsolat megosztható legyen a hálózat minden rendszerével. Minden rendszeren úgy használhatók a különböző alkalmazások, például az Internet Explorer és az Outlook Express, mintha a rendszerek közvetlenül csatlakoznának az internethez.
Az internetkapcsolat megosztása a Windows 2000, Windows XP és Windows Server 2003 rendszerek része, de alapértelmezés szerint egyetlen érintett rendszeren sem engedélyezett.

Igen, mivel az internetkapcsolat megosztása szolgáltatás engedélyezi azon portok használatát, melyeken keresztül kihasználható ez a biztonsági rés.
Ha az Internetkapcsolat tűzfala és az internetkapcsolat megosztása szolgáltatás is engedélyezett, a támadás csak abban az esetben vezethet eredményre, ha a felhasználók futtatták a NetMeeting alkalmazást, vagy manuálisan megnyitották az 1503-as vagy 1720-as portot.

A Microsoft Útválasztás és távelérés szolgáltatás lehetővé teszi, hogy a Windows 2000 Server vagy Windows Server 2003 alapú rendszerek hálózati útválasztóként funkcionáljanak. A távelérés révén a távoli rendszerekkel rendelkező felhasználók logikai kapcsolatot létesíthetnek a szervezeti hálózaton és az interneten keresztül. A Microsoft Útválasztás és távelérés szolgáltatása támogatja a hálózatba irányuló vagy a hálózatból eredő H.323-kéréseket.

Igen. A Windows 2000 alapértelmezés szerint használja a Microsoft Útválasztás és távelérés szolgáltatás hálózati címfordítási (NAT) funkcióit, melyek lehetővé teszik a biztonsági rés kiaknázását. A rendszergazdák a netsh paranccsal letilthatják a H.323 protokollon alapuló funkciók használatát. Az ehhez szükséges lépéseket a Microsoft Tudásbázis 838834-es számú cikke részletezi. (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
Megjegyzés: Nem érinti a biztonsági rés azokat a rendszereket, melyeken a Microsoft Útválasztás és távelérés szolgáltatás nem a Hálózati címfordítás szolgáltatás, hanem például virtuális magánhálózati kapcsolatok, az OSPF protokoll vagy a Routing Information protokoll (RIP) használatára van konfigurálva.

Nem. A Windows Server 2003 Útválasztás és távelérés szolgáltatása alapértelmezés szerint nem engedélyezi a H.323 protokollon alapuló funkciók használatát. A rendszergazdák azonban engedélyezhetik ezeket; ebben az esetben a biztonsági rés kockázatot jelent az adott rendszerben.

A rést kihasználó támadó teljesen átveheti az érintett rendszer vezérlését, programokat telepíthet, adatokat tekinthet meg, módosíthat és törölhet, vagy teljes jogosultsággal rendelkező fiókokat hozhat létre.

Bármely olyan névtelen támadó, aki képes kifejezetten e célra, különlegesen kialakított H.323-kérést kézbesíteni az érintett rendszerek valamelyikének.

A támadó a biztonsági rés kiaknázására tett próbálkozásként olyan felhasználókat kereshet, akik NetMeeting alkalmazást vagy egy H.323 protokoll alapú TAPI-alkalmazást használnak, esetleg mindkettőt.
A támadók az internetkapcsolat megosztása szolgáltatáson keresztül is megkísérelhetik a biztonsági rés kihasználását. Ehhez távoli programkódfuttatással próbálkoznak az internetkapcsolatukat megosztó rendszereken. Ha az Internetkapcsolat tűzfala és az internetkapcsolat megosztása is fut, a támadás csak abban az esetben lehetséges, ha a felhasználók használták a NetMeeting alkalmazást.

Az elsődleges kockázatviselők a NetMeeting vagy valamilyen más, H.323 protokollon alapuló alkalmazást futtató rendszerek.

A frissítés az érintett rendszerekben módosítja a különlegesen kialakított H.323-kéréseket feldolgozó algoritmust.

• A támadónak a biztonsági rés kihasználásához érvényes bejelentkezési adatokkal kell rendelkeznie, és képesnek kell lennie helyileg bejelentkezni a rendszerbe. A biztonsági rés távolról kezdeményezett támadásokkal nem használható ki.
• A Windows XP és a Windows Server 2003 rendszert nem érinti a biztonsági rés.

Ez a hiba illetéktelen jogosultságok megszerzéséhez vezethet. A rést kihasználó támadó teljesen átveheti az érintett rendszer vezérlését, programokat telepíthet, adatokat tekinthet meg, módosíthat és törölhet, vagy teljes jogosultsággal rendelkező fiókokat hozhat létre. A biztonsági rés kihasználásához a támadónak be kell jelentkezni a rendszerbe, és képesnek kell lennie programok futtatására.

Az operációs rendszernek a virtuális DOS-gép alrendszer kezeléséért felelős összetevője lehetőséget adhat védett kernelmemória elérésére. Bizonyos körülmények között előfordulhat, hogy az operációs rendszer néhány kiemelt függvénye nem érvényesít egyes rendszerstruktúrákat, és lehetővé teheti a támadó számára rosszindulatú kódok rendszerszintű jogosultságokkal történő végrehajtását.

A virtuális DOS-gép (VDM) a Windows NT alapú operációs rendszereken az MS-DOS és a DOS alapú Windows rendszereket emuláló környezet. Minden olyan esetben létrejön egy virtuális DOS-gép, amikor a felhasználó az adott Windows NT alapú operációs rendszeren elindít egy MS-DOS alapú alkalmazást.

A rést kihasználó támadó teljesen átveheti az érintett rendszer vezérlését, programokat telepíthet, adatokat tekinthet meg, módosíthat és törölhet, vagy teljes jogosultsággal rendelkező fiókokat hozhat létre.

A biztonsági rés kihasználásához a támadónak be kell jelentkezni a rendszerbe, és képesnek kell lennie programok futtatására.

A biztonsági rés kihasználásához a támadónak először be kell jelentkeznie a rendszerbe, majd egy olyan, kifejezetten e célra készített programot kell futtatnia, mely képes a biztonsági rés kihasználására, és ily módon a támadó teljes mértékben átveheti a megtámadott rendszer vezérlését.

Az elsődleges kockázathordozók a munkaállomások és a terminálkiszolgálók. A kiszolgálókat csak akkor fenyegeti veszély, ha olyan felhasználók jelentkezhetnek be és futtathatnak programokat, akik nem rendelkeznek elégséges rendszergazdai jogosultságokkal. Ezt azonban a gyakorlati tanácsok értelmében feltétlenül kerülni kell.

Nem. A támadónak be kell tudnia jelentkezni a támadás célpontjául kitűzött rendszerbe. E biztonsági rés következményeként a támadók nem képesek programok távoli betöltésére és futtatására.

A frissítés módosítja a Windows azon algoritmusát, mely a virtuális DOS-gép számára lefoglalt memóriaterületekre mutató hivatkozásokat érvényesíti.

• A biztonsági rést kihasználó legtöbb támadás szolgáltatásmegtagadást okozhat.
• Az Internet Information Services (IIS) alapértelmezés szerint engedélyezi az NSSP felület használatát, azonban az Internet Information Services programot csak a Windows 2000 (IIS 5.0) és a Windows Server 2003 Web Server Edition (IIS 6.0) operációs rendszer telepíti alapértelmezés szerint.
• A Windows NT 4.0 operációs rendszert nem érinti ez a biztonsági rés.

A Microsoft az alábbi megoldásokat tesztelte. Jóllehet ezek a megoldások magát a biztonsági rést nem szüntetik meg, segítenek kivédeni az ismert támadási módszereket. Ha egy megoldási javaslat csökkenti a rendszer funkcionalitását, azt jelezzük.

• Tiltsa le az integrált Windows-hitelesítést.
  A rendszergazdák az integrált Windows-hitelesítés letiltásával csökkenthetik az Internet Information Services rendszeren keresztül intézett támadások kockázatát. Az integrált Windows-hitelesítés letiltásáról további információkat talál ezen a webhelyen.
  A megoldás hatása: Nem fognak helyesen működni a Windows NT kérdés-válasz hitelesítés (NTLM) és a Kerberos-hitelesítés használatát igénylő IIS alapú alkalmazások.
• Tiltsa le az NSSP használatát.
  A rendszergazdák letilthatják az NTLM hitelesítést engedélyező NSSP használatát a Microsoft Tudásbázis 215383-as számú cikkében található útmutató alapján (előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat). A cikkben közzétett útmutató az alábbiakban foglalható össze.
  Az egyeztetés letiltásához (és ezzel a Kerberos-hitelesítés megakadályozásához) a következő parancsot kell kiadni (a nem kívánt hatások elkerülése érdekében az „NTLM” kifejezést nagybetűkkel kell írni):
  
  cscript adsutil.vbs set w3svc/NTAuthenticationProviders “NTLM”
  
  A megoldás hatása: A Kerberos-hitelesítést igénylő IIS alapú alkalmazások nem fognak helyesen működni.

Ez a biztonsági rés puffertúlcsordulást okoz. Ez a legvalószínűbb módon általában szolgáltatásmegtagadást okoz. A rést kihasználó támadó teljesen átveheti az érintett rendszer vezérlését, programokat telepíthet, adatokat tekinthet meg, módosíthat és törölhet, vagy teljes jogosultsággal rendelkező fiókokat hozhat létre.

Egy ellenőrizetlen puffer az NSSP felületben.

Mivel a Windows több különböző hitelesítési módszert támogat, az ügyfelek kiszolgálókhoz kapcsolódása során egyeztetni kell a használandó hitelesítési módszert. Az NSSP (Negotiate SSP) felület az operációs rendszer e funkcionalitást biztosító összetevője. Az NSSP a 2478-as számú RFC-dokumentumban definiált SPNEGO (Simple and Protected GSS-API Negotiate Mechanism) protokollon alapul. A Windows hitelesítési módszereiről további információt talál ezen a webhelyen.

Az Internet Information Services (IIS) alapértelmezés szerint engedélyezi az NSSP felület használatát, így az erőforrások biztonságos eléréséhez NTLM, Kerberos- és egyéb hitelesítési módszereket használhat. Az IIS által támogatott hitelesítési módszerekről ezen a webhelyen további információkat találhat.

Bár a sikeres támadások valószínűsíthető eredménye mindössze szolgáltatásmegtagadás lehet, előfordulhat, hogy a biztonsági rést sikeresen kihasználó támadó teljes mértékben át tudja venni a megtámadott rendszer vezérlését, beleértve a programok telepítésének lehetőségét, az adatok megtekintését, módosítását és törlését, valamint teljes körű jogosultsággal rendelkező felhasználói fiókok létrehozását. A rendszergazdák újraindítással visszaállíthatják a támadás miatt működésképtelenné vált rendszerek normális működését. Ettől függetlenül a frissítés telepítéséig az előzőleg megtámadott rendszert újabb szolgáltatásmegtagadási támadások lehetséges célpontjának kell tekinteni.

Az érintett rendszernek kifejezetten támadási céllal kialakított üzenetet eljuttatni képes, név nélkül támadást indító felhasználók. Mivel a tárgyalt szolgáltatás az érintett rendszerek mindegyikén alapértelmezés szerint engedélyezett, az e rendszerek valamelyikével kapcsolatot létesítő felhasználók megpróbálkozhatnak a biztonsági rés kihasználásával.

A támadó a biztonsági rés kiaknázására létrehozhat egy speciálisan erre a célra kialakított hálózati üzenetet, és elküldheti azt a megtámadni kívánt rendszernek.
Az érintett rendszerhez a támadó más módon is hozzáférhet. Bejelentkezhet például interaktív módon, vagy egy program segítségével paramétereket küldhet a veszélyeztetett összetevőnek akár a helyi számítógépről, akár távolról.

Alapértelmezés szerint minden érintett rendszer ki van téve a támadás veszélyének. Emellett az Internet Information Services 5.0, az Internet Information Services 5.1 és az Internet Information Services 6.0 programot futtató számítógépek minden általuk figyelt porton megtámadhatók e biztonsági résen keresztül.

A frissítés a biztonsági rés eltávolításához módosítja az NSSP felület üzenethossz-érvényesítő algoritmusát, mely az üzeneteket a lefoglalt pufferbe való továbbítás előtt ellenőrzi.

• Csak azok a számítógépek érintettek, melyeken az SSL használata engedélyezett. Ezek általában kiszolgálórendszerek. Az SSL támogatása alapértelmezés szerint egyik támadható rendszeren sem engedélyezett. Az SSL protokoll használata webkiszolgálókon azonban széles körben elterjedt az elektronikus kereskedelmi, az online bankügyintézési és egyéb, biztonságos kommunikációt igénylő alkalmazások támogatására.
• A tűzfalakra vonatkozó gyakorlati tanácsok, valamint a szabványos alapértelmezett tűzfal-konfigurációk segítséget nyújtanak a hálózatot érő, a szervezet határain kívülről eredő támadások kivédésében. Gyakorlati tanácsként azt javasoljuk, hogy az internetkapcsolattal rendelkező számítógépeken a lehető legkevesebb port legyen megnyitva.
• A Windows NT 4.0 operációs rendszert nem érinti ez a biztonsági rés.

A Microsoft az alábbi megoldásokat tesztelte. Jóllehet ezek a megoldások magát a biztonsági rést nem szüntetik meg, segítenek kivédeni az ismert támadási módszereket. Ha egy megoldási javaslat csökkenti a rendszer funkcionalitását, azt jelezzük.

• Tiltsa le a tűzfalban a 443-as és a 636-os számú portot.
  A 443-as port az SSL-forgalom fogadására szolgál, míg a 636-os port az LDAP SSL-kapcsolatokban (LDAPS) használatos. E portok tűzfalszintű blokkolása segítséget nyújt a tűzfal mögötti rendszerek védelmében a biztonsági rés kihasználásával szemben. Elképzelhető, hogy találhatók a biztonsági rés kihasználására alkalmas további portok is, azonban az itt említett portok a legvalószínűbb támadási pontok. A Microsoft a más portokat használó támadások elleni védelem jegyében javasolja az internetről érkező összes nem kívánt bejövő adatforgalom blokkolását.
  A megoldás hatása: A 443-as és a 636-os port blokkolása esetén az érintett rendszerek nem tudnak SSL és LDAPS protokollon alapuló külső kapcsolatokat fogadni.

A Microsoft SSL-függvénytárának szolgáltatásmegtagadást okozó biztonsági rése a speciálisan kialakított SSL-üzeneteket kezelő mechanizmust érinti. A biztonsági rés megakadályozhatja a Windows 2000 vagy Windows XP alapú számítógépeken futó érintett rendszerekben az SSL-kapcsolatok fogadását. Windows Server 2003 alapú számítógépeken a biztonsági réssel előidézhető a megtámadott rendszer automatikusan újraindulása.
Fontos megjegyezni, hogy a szolgáltatásmegtagadást okozó biztonsági rések nem teszik lehetővé a támadóknak a kódvégrehajtást, és jogosultságemelést sem eredményezhetnek – a megtámadott rendszer a kérések fogadását függesztheti fel.

Az SSL-függvénytár azon eljárása, amellyel a bejövő üzeneteket ellenőrzi.

A Microsoft SSL-függvénytára támogatást tartalmaz különböző, biztonságos kommunikációt lehetővé tévő protokollokhoz. Ezek közé tartozik a TLS 1.0 (Transport Layer Security 1.0), az SSL 3.0 (Secure Sockets Layer 3.0), az SSL egy régebbi, ritkán használt verziója, az SSL 2.0, valamint a PCT 1.0 (Private Communication Technology 1.0) protokoll.
Ezek a protokollok kiszolgáló- és ügyfélrendszerek közötti titkosított kommunikációt tesznek lehetővé. Az SSL segítséget nyújt a nyilvános hálózatokhoz, például az internethez, csatlakozó felhasználók információinak védelméhez. Az SSL támogatásához SSL-tanúsítványra van szükség, melyet a kiszolgálón kell telepíteni. Az SSL protokollról a Microsoft Tudásbázis 245152-es számú cikkében talál további információt. (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

A biztonsági rést Windows 2000 vagy Windows XP rendszeren sikeresen kihasználó támadó elérheti, hogy a megtámadott rendszer ne legyen képes további SSL-kapcsolatok fogadására. Windows Server 2003 alapú számítógépeken a biztonsági rés kiaknázásával a támadó automatikus újraindulásra késztetheti a megtámadott rendszert. Az újraindításig a megtámadott rendszer nem fog tudni válaszolni a hitelesítési kérésekre. Az újraindítás után visszatér a megtámadott rendszer normális funkcionalitása. Ettől függetlenül a frissítés telepítéséig az előzőleg megtámadott rendszert újabb szolgáltatásmegtagadási támadások lehetséges célpontjának kell tekinteni.
A biztonsági rés kihasználásakor egy rendszerhibát rögzítő esemény kerülhet az eseménynaplóba, melynek azonosítója 5000, szimbolikus neve (SymbolicName) „SPMEVENT_PACKAGE_FAULT”, és leírása tartalmazza az alábbi szöveget:

„A biztonsági csomag (NÉV) kivételt generált.” – a NÉV értéke „Schannel” vagy „Microsoft Unified Security Protocol Provider” (a Microsoft egységes biztonságiprotokoll-szolgáltatója).

Az érintett rendszernek kifejezetten támadási céllal kialakított SSL-üzenetet eljuttatni képes, név nélkül támadást indító felhasználók.

A támadó a biztonsági rés kihasználásához létrehozhat egy olyan programot, mely egy SSL protokollt használó szolgáltatáson keresztül képes kommunikálni a támadható kiszolgálóval egy speciálisan, támadó szándékkal kialakított TCP-üzenet küldése érdekében. Egy ilyen üzenet fogadása a támadható rendszerben szolgáltatásmegtagadást eredményező hibát okozhat.
A támadó azonban más módokon is elérheti a biztonsági résben érintett összetevőket. A támadó például interaktívan is bejelentkezhet a rendszerbe, vagy használhat olyan programot – helyileg vagy távolról futtatva –, mely a biztonsági rést tartalmazó összetevőnek különböző paramétereket ad át.

Az SSL protokoll használatát engedélyező rendszerek mindegyike megtámadható e biztonsági résen keresztül. Bár az SSL protokollt gyakran a HTTPS protokollt és a 443-as portot használó Internet Information Services rendszerekkel együtt említik, az SSL protokollt az érintett platformokon implementáló bármely alkalmazást jó eséllyel érint a biztonsági rés. Ezek közé tartozik – többek között – az Internet Information Services 4.0, az Internet Information Services 5.0, az Internet Information Services 5.1, az Exchange Server 5.5, az Exchange Server 2000, az Exchange Server 2003, az Analysis Services 2000 (az SQL Server 2000 része), továbbá a PCT protokollt használó, harmadik féltől származó minden alkalmazás.
Azok az Active Directory tartományokban üzemelő Windows 2000 rendszerű tartományvezérlők is veszélyeztetettek továbbá, melyeken legfelső szintű vállalati hitelesítő szervezet van telepítve, mivel ezek a rendszerek automatikusan figyelik az SSL-kapcsolatok kialakítására irányuló kéréseket.

A frissítés a biztonsági rés megszüntetéséhez módosítja a speciális kialakítású SSL-üzeneteket feldolgozó algoritmust.

• Az egyes érintett rendszerek egyedi kialakítású memóriastruktúráinak köszönhetően igen nehéz tömeges mértékben sikeres támadásokat szervezni e biztonsági résen keresztül.

Nincsenek.

Bár a biztonsági rés a távoli kódfuttatás lehetőségét is magában rejti, az esetek túlnyomó részében szolgáltatásmegtagadást lehet elérni vele. A biztonsági rést távoli kódfuttatásra sikeresen kihasználó támadó azonban átveheti az irányítást a teljes támadott rendszer fölött, beleértve a programok telepítésének lehetőségét, az adatok megtekintését, módosítását és törlését, valamint teljes körű jogosultsággal rendelkező felhasználói fiókok létrehozását.

A biztonsági rés oka, hogy a Microsoft ASN.1 függvénytárban bekövetkezhet olyan, „kétszeres felszabadításnak” nevezett feltétel, mely memóriasérüléshez vezethet.

A támadó elérheti, hogy az érintett rendszer egy speciálisan, támadó szándékkal kialakított üzenet feldolgozása során olyan memóriaterületet próbáljon felszabadítani, melyet korábban már újabb használat céljára félretett. A már felszabadított memória ismételt felszabadítása a memória sérüléséhez vezethet. A támadó tetszése szerinti programkódot helyezhet el egy ilyen memóriaterületen, mely aztán a memória sérülésekor végrehajtódik. Elképzelhető, hogy ez a programkód rendszerszintű jogosultságokkal hajtódik végre.
A biztonsági rés kihasználása rendszerint szolgáltatásmegtagadáshoz vezet, azonban korlátozott mértékben ugyan, de távoli kódfuttatásra is lehetőség nyílhat. Az egyes érintett rendszerek egyedi kialakítású memóriastruktúráinak köszönhetően igen nehéz tömeges mértékben sikeres támadásokat szervezni e biztonsági résen keresztül.

Az ASN.1 (Abstract Syntax Notation 1, absztrakt szintaxisleíró jelölésrendszer) egy szabványok definiálására szolgáló nyelv. A szabványt a technológiai iparban számos alkalmazás és eszköz használja a különböző platformok közötti adatcsere eszközeként. Az ASN.1 közvetlenül nem kapcsolódik semmilyen szabványhoz, kódolási módszerhez, programnyelvhez vagy hardverplatformhoz. Az ASN.1 szabványról további információkat talál a Microsoft Tudásbázis 252648-as számú cikkében. (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

A programkódfuttatást lehetővé tevő rést kihasználó támadó teljesen átveheti az érintett rendszer vezérlését, programokat telepíthet, adatokat tekinthet meg, módosíthat és törölhet, vagy teljes jogosultsággal rendelkező fiókokat hozhat létre.
A legvalószínűbb esetekben a támadó szolgáltatásmegtagadást okozó állapotba helyezheti a rendszert. A rendszergazdák újraindítással visszaállíthatják a megtámadott rendszerek normális működését.

Mivel az ASN.1 számos alkalmazás és eszköz működésének képezi alapját, sokféle támadási módszerrel kell számolni. E biztonsági rés sikeres kihasználásához a támadónak kifejezetten e célra kialakított ASN.1-adatok visszafejtésére kell kényszerítenie a támadás célpontjául választott rendszert. Például az ASN.1 szabványon alapuló hitelesítési protokollok használatával a támadó létrehozhat olyan, támadó szándékkal, különlegesen kialakított hitelesítési kérést, mellyel kiaknázható a biztonsági rés.

A kiszolgálók nagyobb veszélynek vannak kitéve mint az ügyfélszámítógépek, mivel rendszerint kiszolgálói folyamatok fejtik vissza az ASN.1-adatokat.

Nem. Bár a Windows Millennium Edition operációs rendszer tartalmazza az érintett összetevőt, a biztonsági rés hatása nem kritikus. A biztonsági rések súlyosságának megállapításáról további információt talál ezen a webhelyen.

A frissítés a biztonsági rés megszüntetéséhez módosítja az ASN.1 függvénytár speciális kialakítású adatokat feldolgozó algoritmusát.

Mindkét biztonsági rés az ASN.1 összetevőben található. Ez a frissítés azonban egy később jelentett, az MS04-007-es számú értesítésben közzétett frissítéssel nem javított biztonsági rést szüntet meg. Az MS04-007-es számú frissítés teljes védelmet nyújt az azonos számú értesítésben tárgyalt biztonsági rések ellen, míg ez a frissítés tartalmazza az MS04-007-es számú értesítésben közzétett összes frissítést, így egyben fel is váltja azt. E frissítés telepítése esetén nincs szükség az MS04-007-es számú frissítés telepítésére.