Microsoft Security Bulletin MS03-039

הצפת מאגר בשירות RPCSS עשויה לאפשר הפעלת קוד (824146)

תקציר

למי מומלץ לקרוא עלון זה: לקוחות המשתמשים ב- Microsoft® Windows®

השפעת הפגיעה: הפעלת קוד לפי בחירת התוקף

דירוג חומרה מרבי: קריטי

המלצה: למנהלי מערכת מומלץ להחיל את תיקון האבטחה באופן מיידי.

עלון למשתמשי קצה: גירסה למשתמשי קצה של עלון זה זמינה בכתובת:
http://www.microsoft.com/israel/security/security_bulletins/ms03-039.mspx

תוכנה הנמצאת בסיכון:

תוכנה שאינה נמצאת בסיכון:

למעלה

פרטים טכניים

תיאור טכני
התיקון הכלול בעדכון זה מחליף את התיקון הכלול ב- Microsoft Security Bulletin מספר MS03-026.

Remote Procedure Call ‏(RPC) הוא פרוטוקול הנמצא בשימוש על-ידי מערכת ההפעלה Windows. RPC מספק מנגנון תקשורת בין תהליכים, המאפשר לתוכנית הפועלת במחשב אחד לגשת בצורה חלקה לשירותים הקיימים במחשב אחר. הפרוטוקול עצמו הוא נגזרת של הפרוטוקול Open Software Foundation (OSF) RPC, אך כולל תוספת של כמה הרחבות הספציפיות למיקרוסופט.

קיימות שלוש בעיות ידועות בחלק של שירות RPCSS המטפל בהודעות RPC עבור הפעלת DCOM - שתי בעיות העשויות לאפשר הפעלת קוד באופן בלתי מבוקר, ובעיה אחת העשויה לגרום למניעת שירות. תקלות אלה נובעות כתוצאה מטיפול שגוי בהודעות לא תקינות. בעיות ספציפיות אלה משפיעות על ממשק Distributed Component Object Model (DCOM) בתוך שירות RPCSS. ממשק זה מטפל בבקשות להפעלת אובייקטים של DCOM, הנשלחות ממחשב אחד לשני.

תוקף שהצליח לנצל לרעה בעיות אלה עשוי להפעיל קוד באמצעות הרשאות של המערכת המקומית במערכת שנפגעה, או לגרום לכשל בשירות RPCSS. לאחר מכן, התוקף יוכל לבצע כל פעולה במערכת, כולל התקנת תוכניות, הצגה, שינוי או מחיקה של נתונים או יצירת חשבונות חדשים עם הרשאות מלאות.

כדי לנצל בעיות אלה, התוקף עשוי ליצור תוכנית שתישלח הודעת RPC לא תקינה למערכת הנמצאת בסיכון, במטרה לתקוף את שירות RPCSS.

חברת מיקרוסופט הפיצה כלי בו ניתן להשתמש כדי לסרוק רשת לגילוי נוכחות של מערכות שבהן לא הותקן העדכון MS03-039. פרטים נוספים אודות כלי זה מופיעים ב- Microsoft Knowledge Base, במאמר מספר 827363. כלי זה מחליף את הכלי שהיה כלול ב- Microsoft Knowledge Base, מאמר מספר 827369. אם נעשה שימוש בכלי הכלול ב- Microsoft Knowledge Base, מאמר מספר 827369, מול מערכת בה הותקן תיקון האבטחה הכלול בעלון זה, הכלי שהוחלף ידווח באופן שגוי שבמערכת לא קיים התיקון שהיה כלול ב- MS03-026. חברת מיקרוסופט ממליצה ללקוחות להפעיל את הגירסה העדכנית ביותר של הכלי הזמינה ב- Microsoft Knowledge Base, מאמר מספר 827363, כדי לקבוע אם התיקון מותקן במערכות שברשותם.

גורמים מקלים

דירוג חומרה

ההערכה לעיל מבוססת על סוגי המערכות המושפעות על-ידי בעיה זו, תבניות הפריסה האופייניות להן וההשפעה שתהיה לניצול בעיה זו על המערכות.

מזהה בעיית אבטחה:
הצפת מאגר: CAN-2003-0528
הצפת מאגר: CAN-2003-0528
מניעת שירות: CAN-2003-0605

גירסאות שנבדקו
חברת מיקרוסופט ביצעה בדיקות עבור Windows Millennium Edition‏, Windows NT 4.0 Server‏, Windows NT 4.0 Terminal Services Edition‏, Windows 2000‏, Windows XP ו- Windows Server 2003 במטרה להעריך את השפעת הבעיה על גירסאות אלה. גירסאות קודמות אינן נתמכות עוד וקיימת אפשרות שיושפעו על-ידי בעיה זו.

למעלה

שאלות נפוצות

Security Bulletin MS03-026 דן גם כן בבעיה של RPC. האם תיקון זה מחליף את התיקון שהיה כלול בעלון הקודם?
כן. תיקון האבטחה הכלול בעלון זה מחליף באופן מלא את התיקון שהיה כלול ב- MS03-026, וכן את התיקון שהיה כלול ב- MS01-048.

מהו טווח הבעיה?
קיימות שלוש בעיות נפרדות הנדונות בעלון זה. שתי הראשונות הן בעיות של הצפת מאגר, והשלישית היא בעיה של מניעת שירות. תוקף שהצליח לנצל לרעה אחת מבעיות הצפת המאגר עשוי לקבל שליטה מלאה במחשב מרוחק. באופן זה, לתוקף תהיה אפשרות לנקוט בכל פעולה הרצויה לו במערכת, כולל שינוי דפי אינטרנט, אתחול מחדש של הדיסק הקשיח או הוספת משתמשים חדשים לקבוצת המנהלים המקומית.

תוקף שהצליח לנצל את הבעיה של מניעת השירות עלול לגרום לשירות RPC "להיתקע" ולהפסיק להגיב.

כדי לבצע מתקפה מסוג זה, על התוקף לנצל את האפשרות של שליחת הודעה לא תקינה לשירות RPCSS וכך לגרום לכשל במערכת היעד, באופן שיאפשר הפעלת קוד בצורה לא מבוקרת.

מה גורם לבעיות אלה?
בעיות אלה מתרחשות כתוצאה מכך ששירות RPCSS של Windows אינו מבצע בדיקה תקינה עבור קלט של הודעות בנסיבות מסוימות. לאחר יצירת החיבור, התוקף יכול לשלוח הודעת RPC לא תקינה שנוצרה במיוחד, במטרה לגרום לכשל בתשתית ההפעלה של Distributed Component Object Model ‏(DCOM) הנמצאת בבסיס שירות RPCSS במערכת המרוחקת, באופן שיאפשר הפעלה של קוד בצורה לא מבוקרת.

מהו DCOM?
Distributed Component Object Model (DCOM) הוא פרוטוקול המאפשר לרכיבי תוכנה לקיים תקשורת באופן ישיר ברשת. DCOM, שנקרא לפני כן בשם "Network OLE", מיועד לשימוש בסוגים שונים של תעבורה ברשת, כולל פרוטוקולי אינטרנט כגון HTTP. לקבלת מידע נוסף אודות DCOM בקר באתר האינטרנט הבא: http://www.microsoft.com/com/tech/dcom.asp

מהו Remote Procedure Call ‏(RPC)?
Remote Procedure Call (RPC) הוא פרוטוקול בו תוכנית יכולה להשתמש כדי לבקש שירות מתוכנית הנמצאת במחשב אחר ברשת. RPC מסייע ביכולת הפעילות המשולבת מאחר שהתוכנית המשתמשת ב- RPC אינה נדרשת לזהות את פרוטוקולי הרשת התומכים בתקשורת. ב- RPC, התוכנית השולחת את הבקשה היא הלקוח והתוכנית המספקת את השירות היא השרת.

מהם COM Internet Services ‏(CIS) ו- RPC over HTTP?
RPC over HTTP - v1 (Windows NT 4.0, Windows 2000) ו- v2 (Windows XP, Windows Server 2003) מספקים תמיכה עבור פרוטוקול תעבורה חדש של RPC המאפשר ל- RPC לפעול באמצעות יציאות TCP מספר 80 ו- 443 (v2 בלבד). דבר זה מאפשר ללקוח ולשרת לקיים תקשורת בנוכחות של מרבית שרתי ה- Proxy וה- Firewall. COM Internet Services (CIS) מאפשר ל- DCOM להשתמש ב- RPC over HTTP כדי לקיים תקשורת בין לקוחות DCOM לשרתי DCOM.

ניתן למצוא מידע נוסף אודות "RPC over HTTP" עבור Windows Server 2003 בכתובת ה- URL שלהלן:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/remote_procedure_calls_using_rpc_over_http.asp

ניתן למצוא מידע נוסף אודות COM Internet Services (הנקרא לעיתים CIS) בכתובת ה- URL שלהלן:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dndcom/html/cis.asp

כיצד באפשרותי לדעת אם COM Internet Services ‏(CIS) או RPC over HTTP מותקנים במחשב?
כדי לקבוע אם בשרת מותקנים COM Internet Services או RPC over HTTP, בצע את השלבים שלהלן:

הערה: ניתן גם לחפש את "rpcproxy.dll" בהתקנות של Windows 2000 ו- Windows Server 2003 אם ברצונך לקבוע מרחוק או באופן תיכנותי אם CIS או RPC over HTTP מותקנים במערכת.

כדי לחפש קובץ ספציפי במחשב שלך: לחץ על Start, לחץ על Search, לחץ על For Files or Folders ולאחר מכן הקלד את שם הקובץ שברצונך לחפש.
החיפוש עשוי להימשך מספר דקות, בהתאם לגודל הדיסק הקשיח במחשב שלך.

מה השתבש בשירות RPCSS?
קיים פגם בשירות RPCSS המטפל בהפעלת DCOM. כשל נגרם כתוצאה מטיפול שגוי בהודעות לא תקינות. כשל ספציפי זה משפיע על שירות RPCSS המשמש כבסיס עבור הפעלת DCOM, אשר מבצע האזנה ביציאות UDP מספר 135, 137, 138, 445 ויציאות TCP מספר 135, 139, 445, 593. בנוסף, שירות זה יכול להאזין ביציאות מספר 80 ו- 443 אם CIS או RPC over HTTP מופעלים במערכת.

על-ידי שליחת הודעת RPC לא תקינה, תוקף עשוי לגרום לכשל בשירות RPCSS במערכת, באופן שיאפשר הפעלת קוד בצורה בלתי מבוקרת.

האם זהו פגם בממפה נקודת הקצה של RPC?
לא - למרות שממפה נקודת הקצה של RPC משתתף בשירות RPCSS עם תשתית DCOM, הפגם למעשה מתרחש בתשתית ההפעלה של DCOM. ממפה נקודת הקצה של RPC מאפשר ללקוחות RPC לזהות את מספר היציאה המוקצה כרגע לשירות RPC מסוים. נקודת קצה היא מזהה ספציפי לפרוטוקול של שירות במחשב מארח. עבור פרוטוקולים כגון TCP או UDP, מדובר ביציאה. עבור רכיבי named pipe, מדובר בשם של named pipe. פרוטוקולים אחרים עושים שימוש בנקודות קצה אחרות הספציפיות לפרוטוקול.

אילו פעולות עשוי התוקף לבצע עקב בעיות אלה?
תוקף שהצליח לנצל לרעה את בעיות הצפת המאגר עשוי לקבל את האפשרות להפעיל קוד באמצעות הרשאות המערכת המקומית במערכת שנפגעה. התוקף עשוי לנקוט בכל פעולה במערכת, כולל התקנת תוכניות, הצגה, שינוי או מחיקה של נתונים, או יצירת חשבונות חדשים בעלי הרשאות מלאות.

תוקף שהצליח לנצל את הבעיה של מניעת השירות עלול לגרום לשירות RPCSS "להיתקע" ולהפסיק להגיב.

כיצד יש לתוקף אפשרות לנצל בעיות אלה?
לתוקף יש אפשרות לנצל לרעה בעיות אלה על-ידי יצירת תוכנית היכולה לקיים תקשורת עם שרת הנמצא בסיכון באמצעות יציאת TCP/UDP שנפגעה, כדי לשלוח סוג ספציפי של הודעת RPC לא תקינה. קבלה של הודעה מסוג זה עשויה לגרום לכשל בשירות RPCSS במערכת הנמצאת בסיכון , באופן שיאפשר הפעלה של קוד בצורה לא מבוקרת.

כמו כן, קיימת אפשרות לגשת לרכיב הנמצא בסיכון באמצעות נתיב אחר, כגון נתיב שכרוך בכניסה למערכת באופן אינטראקטיבי או על-ידי שימוש ביישום אחר שהעביר פרמטרים לרכיב שנפגע - באופן מקומי או מרוחק.

למי יש אפשרות לנצל לרעה בעיות אלה?
כל משתמש היכול להעביר הודעת RPC לא תקינה לשירות RPCSS במערכת הנמצאת בסיכון עשוי לנסות לנצל לרעה בעיות אלה. מאחר ששירות RPCSS מופעל כברירת מחדל בכל הגירסאות של Windows, פירוש הדבר הוא שלמעשה כל משתמש המסוגל ליצור חיבור למערכת הנמצאת בסיכון יכול לנסות לנצל לרעה בעיות אלה.

אני עדיין משתמש ב- Microsoft Windows NT 4.0 Workstation, אך לא קיימת עוד תמיכה עבור מערכת זו. עם זאת, עלון זה כולל תיקון. מהי הסיבה לכך?
Windows NT 4.0 Workstation הגיע אל סוף מחזור חייו כפי שתועד בעבר, וחברת מיקרוסופט אינה מספקת בדרך כלל תיקונים הזמינים לקהל הרחב. עם זאת, בשל המאפיינים של בעיה זו, העובדה שהמוצר הגיע לסוף חייו לפני תקופה קצרה בלבד, ומספר המערכות של Windows NT 4.0 Workstation הנמצאות כרגע בשימוש פעיל, מיקרוסופט החליטה לחרוג ממנהגה עבור בעיה זו.

איננו מצפים שנפעל בצורה דומה עבור בעיות בעתיד, אך אנו שומרים על הזכות ליצור ולהפיץ תיקונים בעת הצורך. מומלץ ללקוחות בעלי מערכות קיימות מסוג Windows NT 4.0 Workstations לבצע העברה בהקדם האפשרי לפלטפורמות שעבורן קיימת תמיכה, כדי למנוע חשיפה לבעיות בעתיד.

מידע נוסף אודות Windows Desktop Product Life Cycle Support זמין בכתובת: http://microsoft.com/windows/lifecycle/desktop/consumer/components.mspx

אני עדיין משתמש ב- Microsoft Windows 2000 Service Pack 2, אך לא קיימת עוד תמיכה עבור מערכת זו. עם זאת, עלון זה כולל תיקון המיועד להתקנה ב- Service Pack 2. מהי הסיבה לכך?
Windows 2000 Service Pack 2 הגיע אל סוף מחזור חייו כפי שתועד בעבר, וחברת מיקרוסופט אינה מספקת בדרך כלל תיקונים הזמינים לקהל הרחב. עם זאת, בשל המאפיינים של בעיה זו, העובדה שהמוצר הגיע לסוף חייו לפני תקופה קצרה בלבד, ומספר הלקוחות המשתמשים כרגע ב- Windows 2000 Service Pack 2, מיקרוסופט החליטה לחרוג ממנהגה עבור בעיה זו.

איננו מצפים שנפעל בצורה דומה עבור בעיות בעתיד, אך אנו שומרים על הזכות ליצור ולהפיץ תיקונים בעת הצורך. מומלץ ללקוחות בעלי מערכות קיימות מסוג Windows 2000 Service Pack 2 לבצע העברה בהקדם האפשרי לפלטפורמות שעבורן קיימת תמיכה, כדי למנוע חשיפה לבעיות בעתיד.

מידע נוסף אודות Windows Desktop Product Life Cycle Support זמין בכתובת: http://microsoft.com/windows/lifecycle/desktop/consumer/components.mspx

האם קיימים כלים בהם באפשרותי להשתמש כדי לזהות מערכות ברשת שבהן לא הותקן התיקון MS03-039?
כן - חברת מיקרוסופט הפיצה כלי בו ניתן להשתמש כדי לסרוק רשת לגילוי נוכחות של מערכות שבהן לא הותקן התיקון MS03-039. פרטים נוספים אודות כלי זה מופיעים ב- Microsoft Knowledge Base, במאמר מספר 827363.

כיצד פועל התיקון?
תיקון זה פותר את הבעיה על-ידי שינוי היישום של DCOM לשם ביצוע בדיקה תקינה של המידע המועבר אליו.

דרכים לעקיפת הבעיה:

האם קיימות דרכים לעקיפת הבעיה בהן ניתן להשתמש כדי לחסום אפשרויות לניצול בעיה זו, בעוד אני מבצע בדיקה או הערכה של התיקון?
כן. למרות שחברת מיקרוסופט ממליצה בחום לכל הלקוחות להחיל את התיקון בהזדמנות הראשונה, קיימות מספר דרכים לעקיפת הבעיה שניתן ליישם כדי לסייע בחסימת הנתיב המשמש לניצול בעיה זו בתקופת המעבר עד להחלת התיקון. לא ניתן להבטיח כי הדרכים לעקיפת הבעיה יצליחו לחסום את כל נתיבי ההתקפה האפשריים.

יש לציין כי דרכים אלה לעקיפת הבעיה אמורות לשמש כאמצעי זמני בלבד, מאחר שהן רק מסייעות בחסימת נתיבי המתקפה ואינן פותרות את הבעיה באופן יסודי.

הערה: עבור Windows 2000, השיטות שתוארו לעיל יפעלו רק במערכות בהן פועל Service Pack 3 ואילך. ללקוחות המשתמשים ב- Service Pack 2 או גירסאות קודמות מומלץ לבצע שדרוג לגירסה מתקדמת יותר של Service Pack או להשתמש באחת הדרכים האחרות לעקיפת הבעיה.

למעלה

זמינות התיקון

מיקומים להורדת תיקון זה

למעלה

מידע נוסף

פלטפורמות התקנה:

כלילה בערכות Service Pack עתידיות:
התיקון עבור בעיה זו ייכלל ב- Windows 2000 Service Pack 5, Windows XP Service Pack 2 ו- Windows Server 2003 Service Pack 1.

האם נדרש אתחול מחדש: כן

האם ניתן להסיר את התיקון: כן

התיקונים המוחלפים:
התיקון המופיע בעדכון זה מחליף את התיקון הכלול ב- Microsoft Security Bulletin מספר MS03-026 וכן מספר MS01-048

אימות התקנת התיקון:

אזהרות: לא קיימות

התאמה לשפות אחרות:
גירסאות של תיקון זה המותאמות לשפות אחרות זמינות במיקומים שנידונו בסעיף "זמינות התיקון".

קבלת תיקוני אבטחה אחרים:
תיקונים עבור בעיות אבטחה אחרות זמינים במיקומים הבאים:

למעלה

מידע אחר

תודות
חברת מיקרוסופט מודה ל- eEye Digital Security, ל- NSFOCUS Security Team ולסיו יונג זי ורנו דרייסון מ- Tenable Network Security על כך שדיווחו לנו על הבעיות של הצפת המאגר וסייעו לנו להגן על הלקוחות.

תמיכה:

משאבי אבטחה: אתר האינטרנט Microsoft TechNet Security מספק מידע נוסף אודות האבטחה במוצרי מיקרוסופט.

למעלה