Centrum Bezpieczeństwa > Biuletyny zabezpieczeń

Biuletyn zabezpieczeń firmy Microsoft MS09-050 – krytyczny

Luki w zabezpieczeniach protokołu SMBv2 umożliwiają zdalne wykonanie kodu (975517)

Opublikowano: 13 października 2009 | Zaktualizowano: 14 października 2009

Wersja: 1.1

Informacje ogólne

Streszczenie

Niniejsza aktualizacja zabezpieczeń usuwa jedną lukę zgłoszoną przez organizacje publiczne oraz dwie luki zgłoszone przez użytkowników. Luki te znajdują się w protokole SMBv2 (Server Message Block Version 2). Najpoważniejsza z tych luk umożliwia zdalne wykonanie kodu, gdy osoba atakująca wyśle specjalnie spreparowany pakiet SMB do komputera z uruchomioną usługą Serwer. Sprawdzone metody działania stosowane w zaporach oraz standardowe domyślne konfiguracje zapór mogą pomóc w ochronie sieci przed atakami spoza przedsiębiorstwa. Zgodnie ze standardowymi zasadami działania zaleca się, aby w systemach połączonych z Internetem była otwarta jak najmniejsza liczba portów.

Niniejsza aktualizacja zabezpieczeń ma wskaźnik ważności „krytyczny” dla wszystkich obsługiwanych wersji systemu Windows Vista i Windows Server 2008. Więcej informacji można znaleźć w podsekcji Programy, których dotyczy problem i programy, których nie dotyczy problem niniejszej sekcji.

Aktualizacja zabezpieczeń usuwa luki, zmieniając sposób sprawdzania poprawności pól w pakietach SMBv2, zmieniając sposób obsługi wartości poleceń w pakietach SMB oraz zmieniając sposób analizowania specjalnie spreparowanych pakietów SMB. Więcej informacji na temat luk może znaleźć w podsekcjach „Często zadawane pytania” dla pozycji określonych luk w zabezpieczeniach, znajdujących się poniżej następnej sekcji, Informacje o luce w zabezpieczeniach.

Niniejsza aktualizacja zabezpieczeń dotyczy również luki w zabezpieczeniach opisanej po raz pierwszy w Poradniku zabezpieczeń firmy Microsoft 975497.

Zalecenie. Większość użytkowników ma włączoną funkcję automatycznych aktualizacji i nie będzie musiała podejmować żadnych działań, ponieważ niniejsza aktualizacja zabezpieczeń zostanie pobrana i zainstalowana automatycznie. Klienci, którzy nie włączyli funkcji automatycznej aktualizacji, muszą sami sprawdzać ich dostępność i ręcznie zainstalować niniejszą aktualizację. Aby uzyskać informacje na temat określonych opcji konfiguracji w przypadku aktualizowania automatycznego, patrz artykuł 294871 bazy wiedzy Microsoft Knowledge Base.

Firma Microsoft zaleca administratorom (w przypadku instalacji w przedsiębiorstwach) oraz użytkownikom końcowym, którzy chcą zainstalować tę aktualizację zabezpieczeń ręcznie, aby zastosowali ją bezzwłocznie przy użyciu oprogramowania do zarządzania aktualizacjami zabezpieczeń lub poprzez sprawdzenie dostępności aktualizacji przy użyciu usługi Microsoft Update.

Informacje na ten temat znajdują się także w sekcji Narzędzia wykrywania i wdrażania oraz wskazówki, która znajduje się w dalszej części niniejszego biuletynu.

Znane problemy. Brak

Top of sectionTop of section

Programy, których dotyczy problem i programy, których nie dotyczy problem

Oprogramowanie wymienione poniżej zostało przetestowane w celu ustalenia, których wersji dotyczy problem. Dla pozostałych wersji dobiegł końca okres pomocy technicznej bądź luka w zabezpieczeniach ich nie dotyczy. Aby zapoznać się z zasadami cyklu pomocy technicznej dotyczącymi używanej wersji oprogramowania, odwiedź witrynę zasad cyklu pomocy technicznej firmy Microsoft.

Programy, których dotyczy problem

System operacyjnyMaksymalny wpływ na bezpieczeństwoZbiorczy wskaźnik ważnościBiuletyny zastępowane przez niniejszą aktualizację

Windows Vista, Windows Vista z dodatkiem Service Pack 1 i Windows Vista z dodatkiem Service Pack 2

Zdalne wykonanie kodu

Krytyczny

Brak

Windows Vista x64 Edition, Windows Vista x64 Edition z dodatkiem Service Pack 1 i Windows Vista x64 Edition z dodatkiem Service Pack 2

Zdalne wykonanie kodu

Krytyczny

Brak

Windows Server 2008 dla systemów 32-bitowych i Windows Server 2008 z dodatkiem Service Pack 2 dla systemów 32-bitowych*

Zdalne wykonanie kodu

Krytyczny

Brak

Windows Server 2008 dla systemów z procesorem x64 i Windows Server 2008 z dodatkiem Service Pack 2 dla systemów z procesorem x64*

Zdalne wykonanie kodu

Krytyczny

Brak

Windows Server 2008 dla systemów z procesorem Itanium i Windows Server 2008 z dodatkiem Service Pack 2 dla systemów z procesorem Itanium

Zdalne wykonanie kodu

Krytyczny

Brak

*Luka w zabezpieczeniach dotyczy instalacji Server Core systemu Windows Server 2008. W przypadku obsługiwanych wersji systemu Windows Server 2008 ta aktualizacja ma zastosowanie, z takim samym wskaźnikiem ważności, niezależnie od tego, czy system Windows Server 2008 został zainstalowany przy użyciu opcji instalacji Server Core. Aby uzyskać więcej informacji na temat tej opcji instalacji, zobacz Server Core. Należy pamiętać, że opcja instalacji Server Core nie dotyczy niektórych wersji systemu Windows Server 2008; zobacz Porównanie opcji instalacji Server Core.

Programy, których nie dotyczy problem

System operacyjny

Microsoft Windows 2000 z dodatkiem Service Pack 4

Windows XP z dodatkiem Service Pack 2 i Windows XP z dodatkiem Service Pack 3

Windows XP Professional x64 Edition z dodatkiem Service Pack 2

Windows Server 2003 z dodatkiem Service Pack 2

Windows Server 2003 x64 Edition z dodatkiem Service Pack 2

Windows Server 2003 z dodatkiem SP2 dla systemów z procesorem Itanium

Windows 7 dla systemów 32-bitowych

Windows 7 dla systemów z procesorem x64

Windows Server 2008 R2 dla systemów opartych na procesorach x64

Windows Server 2008 R2 dla systemów opartych na procesorach Itanium

Top of sectionTop of section

Często zadawane pytania dotyczące tej aktualizacji zabezpieczeń

Gdzie znajdują się szczegółowe informacje dotyczące plików?  
Szczegółowe informacje dotyczące lokalizacji plików znajdują się w tabelach informacyjnych w sekcji Wdrażanie aktualizacji zabezpieczeń.

Czy zastosowanie tej aktualizacji wymaga ponownego uruchomienia systemu?  
System można zaktualizować bez ponownego uruchamiania systemu. W tym celu po zastosowaniu aktualizacji należy uruchomić ponownie sterownik Server SMB 2.x i wszystkie zależne od niego usługi. Jeśli aktualizacja ta jest instalowana w ramach aktualizacji automatycznych, zostanie wyświetlony monit o ponowne uruchomienie systemu. Komunikat o konieczności ponownego uruchomienia systemu może nie zostać wyświetlony w przypadku ręcznej instalacji aktualizacji. Aby aktualizacja została zastosowana poprawnie, zaleca się ponowne uruchomienie systemu, ponieważ lista usług może być długa.

Dlaczego ta aktualizacja dotyczy kilku zgłoszonych luk w zabezpieczeniach?  
Ta aktualizacja obsługuje kilka luk, ponieważ modyfikacje konieczne do ich rozwiązania należy wprowadzić w powiązanych ze sobą plikach. Zamiast instalować klika niemal identycznych aktualizacji, klienci powinni skorzystać tylko z tej jednej.

Używam starszego wydania oprogramowania omówionego w niniejszym biuletynie zabezpieczeń. Co należy zrobić?  
Zagrożone przez lukę oprogramowanie wymienione w niniejszym biuletynie zostało przetestowane w celu ustalenia, których wydań dotyczy problem. Dla pozostałych wydań upłynął okres pomocy technicznej. Aby zapoznać się z zasadami cyklu pomocy technicznej dotyczącymi używanego wydania oprogramowania, odwiedź witrynę zasad cyklu pomocy technicznej firmy Microsoft.

Klienci korzystający ze starszych wydań oprogramowania powinni traktować priorytetowo migrację do wydań obsługiwanych, aby zapobiec ewentualnym skutkom wystąpienia luk mogących się pojawić w przyszłości. Więcej informacji na temat zasad cyklu pomocy technicznej dla systemu Windows można znaleźć w witrynie zasad cyklu pomocy technicznej firmy Microsoft. Aby uzyskać więcej informacji na temat przedłużonego okresu obsługi aktualizacji zabezpieczeń dla tych wersji oprogramowania, odwiedź witrynę pomocy technicznej firmy Microsoft.

Klienci, którzy potrzebują dodatkowej pomocy technicznej dotyczącej starszych wersji, powinni skontaktować się z przedstawicielem firmy Microsoft, aby uzyskać informacje na temat niestandardowych opcji pomocy technicznej. Klienci nie mający podpisanej umowy typu Alliance, Premier lub Authorized mogą skontaktować się z lokalnym biurem handlowym firmy Microsoft. Aby uzyskać więcej informacji, należy przejść do witryny sieci Web Microsoft Worldwide Information, wybrać kraj, a następnie kliknąć przycisk Go (Przejdź) w celu wyświetlenia listy numerów telefonów. Po wybraniu numeru należy poprosić o połączenie z kierownikiem lokalnego działu sprzedaży dla umów typu Premier. Aby uzyskać więcej informacji na ten temat, zapoznaj się z Najczęściej zadawanymi pytaniami dotyczącymi cyklu pomocy technicznej dla systemu operacyjnego Windows.

Top of sectionTop of section

Informacje o luce w zabezpieczeniach

Wskaźniki ważności i identyfikatory luk

Poniższe wskaźniki ważności zakładają maksymalny potencjalny wpływ danej luki w zabezpieczeniach. Informacje dotyczące prawdopodobieństwa zaistnienia możliwości wykorzystania danej luki w ciągu 30 dni od publikacji tego biuletynu, w odniesieniu do jej wskaźnika ważności i znaczenia dla bezpieczeństwa, można znaleźć w sekcji Wskaźnik możliwości wykorzystania luki w podsumowaniu biuletynów za październik. Aby uzyskać więcej informacji, zobacz Microsoft Exploitability Index.

Wskaźnik ważności luki i maksymalny wpływ na bezpieczeństwo dla oprogramowania, którego dotyczy luka
Programy, których dotyczy problemLuka w zabezpieczeniach protokołu SMBv2 związana z nieskończoną pętlą – CVE-2009-2526Luka w zabezpieczeniach protokołu SMBv2 związana z wartością poleceń – CVE-2009-2532Luka w zabezpieczeniach protokołu SMBv2 związana z negocjacją – CVE-2009-3103Zbiorczy wskaźnik ważności

Windows Vista, Windows Vista z dodatkiem Service Pack 1 i Windows Vista z dodatkiem Service Pack 2

Ważny 
Odmowa usługi

Krytyczny 
Zdalne wykonanie kodu

Krytyczny 
Zdalne wykonanie kodu

Krytyczny

Windows Vista x64 Edition, Windows Vista x64 Edition z dodatkiem Service Pack 1 i Windows Vista x64 Edition z dodatkiem Service Pack 2

Ważny 
Odmowa usługi

Krytyczny 
Zdalne wykonanie kodu

Krytyczny 
Zdalne wykonanie kodu

Krytyczny

Windows Server 2008 dla systemów 32-bitowych i Windows Server 2008 z dodatkiem Service Pack 2 dla systemów 32-bitowych*

Ważny 
Odmowa usługi

Krytyczny 
Zdalne wykonanie kodu

Krytyczny 
Zdalne wykonanie kodu

Krytyczny

Windows Server 2008 dla systemów z procesorem x64 i Windows Server 2008 z dodatkiem Service Pack 2 dla systemów z procesorem x64*

Ważny 
Odmowa usługi

Krytyczny 
Zdalne wykonanie kodu

Krytyczny 
Zdalne wykonanie kodu

Krytyczny

Windows Server 2008 dla systemów z procesorem Itanium i Windows Server 2008 z dodatkiem Service Pack 2 dla systemów z procesorem Itanium

Ważny 
Odmowa usługi

Krytyczny 
Zdalne wykonanie kodu

Krytyczny 
Zdalne wykonanie kodu

Krytyczny

*Luka w zabezpieczeniach dotyczy instalacji Server Core systemu Windows Server 2008. W przypadku obsługiwanych wersji systemu Windows Server 2008 ta aktualizacja ma zastosowanie, z takim samym wskaźnikiem ważności, niezależnie od tego, czy system Windows Server 2008 został zainstalowany przy użyciu opcji instalacji Server Core. Aby uzyskać więcej informacji na temat tej opcji instalacji, zobacz Server Core. Należy pamiętać, że opcja instalacji Server Core nie dotyczy niektórych wersji systemu Windows Server 2008; zobacz Porównanie opcji instalacji Server Core.

Top of sectionTop of section

Luka w zabezpieczeniach protokołu SMBv2 związana z nieskończoną pętlą – CVE-2009-2526

W sposobie, w jaki oprogramowanie firmy Microsoft obsługujące protokół SMB (Server Message Block) obsługuje specjalnie spreparowane pakiety SMBv2, występuje luka powodująca odmowę usługi. Wykorzystanie tej luki nie wymaga uwierzytelnienia, pozwalając osobie atakującej na wykorzystanie jej poprzez wysłanie specjalnie spreparowanej wiadomości sieciowej do komputera, na którym uruchomiona jest usługa Serwer. Osoba atakująca, której uda się wykorzystać tę lukę, może spowodować, że komputer przestanie odpowiadać i trzeba go będzie uruchomić ponownie.

Aby wyświetlić tę lukę w zabezpieczeniach jako standardową pozycję na liście znanych luk i zagrożeń, zobacz CVE-2009-2526.

Czynniki ograniczające zagrożenie wynikające z luki w zabezpieczeniach protokołu SMBv2 związanej z nieskończoną pętlą – CVE-2009-2526

Ograniczenie sprowadza się do odpowiedniego ustawienia, typowej konfiguracji lub najważniejszej wskazówki ogólnej, które istnieją w stanie domyślnym i mogą zmniejszyć zagrożenie wykorzystaniem omawianej luki w zabezpieczeniach. W tej sytuacji pomocne mogą być następujące czynniki ograniczające zagrożenie:

Sprawdzone metody działania stosowane w zaporach oraz standardowe domyślne konfiguracje zapór mogą pomóc w zabezpieczeniu sieci przed atakami spoza obszaru działania przedsiębiorstwa. Zgodnie ze standardowymi zasadami działania zaleca się, aby w systemach połączonych z Internetem była otwarta jak najmniejsza liczba portów.

W systemie Windows Vista ustawienie profilu sieci na „Publiczna” powoduje, że system nie jest zagrożony przez omawianą lukę, ponieważ niepożądane przychodzące pakiety sieciowe są domyślnie blokowane.

Ta luka nie dotyczy wersji RTM (Release to Manufacturing) systemów Windows 7 ani Windows Server 2008 R2.

Top of sectionTop of section

Obejścia problemu spowodowanego przez lukę w zabezpieczeniach protokołu SMBv2 związaną z nieskończoną pętlą – CVE-2009-2526

Obejście oznacza wprowadzenie zmiany ustawienia lub konfiguracji, która nie powoduje wyeliminowania samej luki, lecz może pomóc w zablokowaniu znanych kierunków ataku przed zastosowaniem aktualizacji Firma Microsoft przetestowała następujące obejścia i przedstawią swoją opinię w kwestii ograniczania przez nie funkcjonalności:

Wyłączenie obsługi protokołu SMB v2

Uwaga Zobacz artykuł 975517 bazy wiedzy Microsoft Knowledge Base, aby użyć automatycznej opcji naprawy firmy Microsoft w celu zastosowania lub cofnięcia tego obejścia.

Aby zmodyfikować klucz rejestru, wykonaj następujące czynności:

Uwaga Nieprawidłowe korzystanie z Edytora rejestru może być przyczyną poważnych problemów, w wyniku których może być konieczna ponowna instalacja systemu operacyjnego. Firma Microsoft nie może zagwarantować rozwiązania problemów wynikających z nieprawidłowego użycia Edytora Rejestru. Zmian w rejestrze można dokonywać wyłącznie na własne ryzyko. Informacje na temat sposobu modyfikacji rejestru można znaleźć w temacie Pomocy „Zmienianie kluczy i wartości” programu Edytor rejestru (Regedit.exe) lub „Dodawanie i usuwanie informacji w rejestrze” oraz „Edytowanie danych rejestru” w przypadku programu Regedt32.exe.

1.

Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie Regedit w polu Otwórz, a następnie kliknij przycisk OK

2.

Odnajdź i kliknij następujący podklucz rejestru:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services

3.

Kliknij pozycję LanmanServer.

4.

Kliknij pozycję Parametry.

5.

Kliknij prawym przyciskiem myszy, aby dodać nową wartość DWORD (32-bitową).

6.

Wprowadź wartość smb2 w polu danych Nazwa i zmień wartość pola danych Wartość na 0.

7.

Zakończ.

8.

Uruchom ponownie usługę „Server”, wykonując jedną z następujących czynności:

- Otwórz konsolę MMC do zarządzania komputerem, przejdź do pozycji Usługi i aplikacje, kliknij pozycję Usługi, kliknij prawym przyciskiem myszy nazwę usługi Serwer i kliknij polecenie Uruchom ponownie. W menu podręcznym kliknij odpowiedź Tak.

- W wierszu polecenia z uprawnieniami administratora wpisz polecenie net stop server, a następnie net start server.

Wpływ obejścia. Host nie będzie komunikować się przy użyciu protokołu SMBv2, lecz przy użyciu protokołu SMB 1.0. Nie powinno to wpłynąć na usługi podstawowe, takie jak udostępnianie plików i drukarek. Będą one działać normalnie.

Jak cofnąć obejście tymczasowe:

1.

Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie Regedit w polu Otwórz, a następnie kliknij przycisk OK

2.

Odnajdź i kliknij następujący podklucz rejestru:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services

3.

Kliknij pozycję LanmanServer.

4.

Kliknij pozycję Parametry.

5.

Kliknij dwukrotnie wartość smb2 i zmień wartość pola danych Wartość na 1.

6.

Zakończ.

7.

Uruchom ponownie usługę „Server”, wykonując jedną z następujących czynności:

- Otwórz konsolę MMC do zarządzania komputerem, przejdź do pozycji Usługi i aplikacje, kliknij pozycję Usługi, kliknij prawym przyciskiem myszy nazwę usługi Serwer i kliknij polecenie Uruchom ponownie. W menu podręcznym kliknij odpowiedź Tak.

- W wierszu polecenia z uprawnieniami administratora wpisz polecenie net stop server, a następnie net start server.

Zablokowanie portów TCP 139 i 445 na zaporze

Te porty są używane do inicjowania połączenia ze składnikiem, którego dotyczy luka. Zablokowanie portów TCP 139 i 445 w zaporze może ułatwić ochronę systemów znajdujących się za zaporą przed atakami z wykorzystaniem tej luki w zabezpieczeniach. W celu zapobieżenia atakom mogącym wykorzystywać inne porty firma Microsoft zaleca blokowanie całego niepożądanego ruchu przychodzącego z Internetu. Więcej informacji na temat portów znajduje się w dodatku Przypisywanie portów TCP i UDP (j. ang.).

Wpływ obejścia: Kilka usług systemu Windows korzysta z portów, których dotyczy luka. Blokowanie łączności z tymi portami może uniemożliwić korzystanie z niektórych aplikacji lub usług. Poniżej wymieniono niektóre aplikacje lub usługi, których może dotyczyć ten problem:

Aplikacje korzystające z SMB (CIFS)

Aplikacje korzystające ze skrzynek mailslot lub nazwanych potoków (RPC over SMB)

Serwer (Udostępnianie plików i drukarek)

Zasady grupy

Logowanie do sieci

Rozproszony system plików (DFS)

Licencjonowanie serwera terminali

Bufor wydruku

Przeglądarka komputera

Lokalizator zdalnego wywoływania procedur

Usługa faksowania

Usługa indeksowania

Dzienniki wydajności i alerty

Program Systems Management Server

Usługa rejestrowania licencji

Cofnięcie obejścia. Odblokowanie portów TCP 139 i 445 na zaporze. Więcej informacji na temat portów znajduje się w dodatku Przypisywanie portów TCP i UDP (j. ang.).

Top of sectionTop of section

Często zadawane pytania dotyczące luki w zabezpieczeniach protokołu SMBv2 związanej z nieskończoną pętlą – CVE-2009-2526

Jaki zakres obejmuje luka?  
Ta luka powoduje awarię typu odmowa usługi. Osoba atakująca, która wykorzysta tę lukę, może spowodować, że zaatakowany system przestanie odpowiadać i trzeba go będzie ręcznie uruchomić ponownie. Należy zauważyć, że luka umożliwiająca atak typu „odmowa usługi" nie pozwala atakującemu na wykonanie kodu lub podniesienie poziomu swoich uprawnień, lecz może spowodować, że zaatakowany system przestanie akceptować żądania.

Skąd bierze się luka?  
Przyczyną występowania tej luki w oprogramowaniu do obsługi protokołu SMB firmy Microsoft jest niewystarczające sprawdzanie poprawności wszystkich pól podczas analizy specjalnie spreparowanych pakietów SMBv2.

Co to jest protokół Server Message Block 2 (SMBv2)?  
Server Message Block (SMB) to protokół udostępniania plików używany domyślnie na komputerach z systemem Windows. SMB Version 2.0 (SMBv2) to aktualizacja tego protokołu, która jest obsługiwana wyłącznie na komputerach z systemem Windows Server 2008, Windows 7 i Windows Vista. Użycie usługi SMBv2 jest możliwe tylko wtedy, gdy obsługuje ją zarówno klient, jak i serwer. Jeśli klient lub serwer nie obsługuje protokołu SMBv2, będzie używany protokół SMB 1.0. Decyzja o wyborze wersji protokołu SMB, która ma być użyta do operacji na plikach, zapada podczas fazy negocjacji. Podczas fazy negocjacji klient systemu Windows Vista anonsuje serwerowi, że może zrozumieć nowy protokół SMBv2. Jeśli serwer (z systemem Windows Server 2008 lub nowszym) obsługuje protokół SMBv2, protokół ten jest wybierany do użycia w dalszej komunikacji. W przeciwnym przypadku klient i serwer będą korzystać z protokołu SMB 1.0 oraz działać normalnie. Aby uzyskać więcej informacji na temat protokołu SMBv2, zobacz artykuł MSDN, Specyfikacja protokołu Server Message Block (SMB) Version 2 (j. ang.).

Jakie mogą być skutki wykorzystania luki przez osobę atakującą?   
Osoba atakująca, której uda się wykorzystać tę lukę, może spowodować, że komputer użytkownika przestanie odpowiadać i trzeba go będzie ręcznie uruchomić ponownie.

W jaki sposób osoba atakująca może wykorzystać tę lukę?   
Osoba atakująca może próbować wykorzystać tę lukę, tworząc specjalnie spreparowany pakiet SMBv2 i wysyłając go do systemu, którego dotyczy luka.

Jakie systemy są szczególnie narażone na skutki tej luki?   
Ta luka dotyczy wszystkich systemów, w których jest uruchomiona usługa Serwer SMB. Na większe ryzyko związane z wykorzystaniem tej luki są narażone kontrolery domeny, ponieważ są to systemy z udziałami sieciowymi domyślnie otwartymi dla wszystkich użytkowników domeny.

W jaki sposób działa aktualizacja?   
Aktualizacja zabezpieczeń usuwa lukę, zmieniając sposób sprawdzania poprawności pól znajdujących się w pakietach SMBv2.

Czy luka była powszechnie znana w czasie, gdy opublikowano niniejszy biuletyn?  
Nie. Firma Microsoft otrzymała informacje o tej luce od odpowiedzialnego użytkownika.

Czy firma Microsoft otrzymała zgłoszenia o wykorzystaniu luki w czasie, gdy opublikowano niniejszy biuletyn?  
Nie. Firma Microsoft nie otrzymała żadnych informacji o tym, że luka ta była szeroko wykorzystywana do atakowania użytkowników i nie spotkała się z przykładami odpowiednich kodów w czasie, gdy został opublikowany niniejszy biuletyn.

Top of sectionTop of section
Top of sectionTop of section

Luka w zabezpieczeniach protokołu SMBv2 związana z wartością poleceń – CVE-2009-2532

W sposobie, w jaki oprogramowanie firmy Microsoft obsługujące protokół SMB (Server Message Block) obsługuje specjalnie spreparowane pakiety SMB, występuje luka umożliwiająca wykonanie nieuwierzytelnionego kodu zdalnego. Wykorzystanie tej luki nie wymaga uwierzytelnienia, pozwalając osobie atakującej na wykorzystanie jej poprzez wysłanie specjalnie spreparowanej wiadomości sieciowej do komputera, na którym uruchomiona jest usługa Serwer. Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać pełną kontrolę nad systemem.

Aby wyświetlić tę lukę w zabezpieczeniach jako standardową pozycję na liście znanych luk i zagrożeń, zobacz CVE-2009-2532.

Czynniki ograniczające zagrożenie wynikające z luki w zabezpieczeniach protokołu SMBv2 związanej z wartością poleceń – CVE-2009-2532

Ograniczenie sprowadza się do odpowiedniego ustawienia, typowej konfiguracji lub najważniejszej wskazówki ogólnej, które istnieją w stanie domyślnym i mogą zmniejszyć zagrożenie wykorzystaniem omawianej luki w zabezpieczeniach. W tej sytuacji pomocne mogą być następujące czynniki ograniczające zagrożenie:

Sprawdzone metody działania stosowane w zaporach oraz standardowe domyślne konfiguracje zapór mogą pomóc w zabezpieczeniu sieci przed atakami spoza obszaru działania przedsiębiorstwa. Zgodnie ze standardowymi zasadami działania zaleca się, aby w systemach połączonych z Internetem była otwarta jak najmniejsza liczba portów.

W systemie Windows Vista ustawienie profilu sieci na „Publiczna” powoduje, że system nie jest zagrożony przez omawianą lukę, ponieważ niepożądane przychodzące pakiety sieciowe są domyślnie blokowane.

Ta luka nie dotyczy wersji RTM (Release to Manufacturing) systemów Windows 7 ani Windows Server 2008 R2.

Top of sectionTop of section

Obejścia problemu spowodowanego przez lukę w zabezpieczeniach protokołu SMBv2 związaną z wartością poleceń – CVE-2009-2532

Obejście oznacza wprowadzenie zmiany ustawienia lub konfiguracji, która nie powoduje wyeliminowania samej luki, lecz może pomóc w zablokowaniu znanych kierunków ataku przed zastosowaniem aktualizacji Firma Microsoft przetestowała następujące obejścia i przedstawią swoją opinię w kwestii ograniczania przez nie funkcjonalności:

Wyłączenie obsługi protokołu SMB v2

Uwaga Zobacz artykuł 975517 bazy wiedzy Microsoft Knowledge Base, aby użyć automatycznej opcji naprawy firmy Microsoft w celu zastosowania lub cofnięcia tego obejścia.

Aby zmodyfikować klucz rejestru, wykonaj następujące czynności:

Uwaga Nieprawidłowe korzystanie z Edytora rejestru może być przyczyną poważnych problemów, w wyniku których może być konieczna ponowna instalacja systemu operacyjnego. Firma Microsoft nie może zagwarantować rozwiązania problemów wynikających z nieprawidłowego użycia Edytora Rejestru. Zmian w rejestrze można dokonywać wyłącznie na własne ryzyko. Informacje na temat sposobu modyfikacji rejestru można znaleźć w temacie Pomocy „Zmienianie kluczy i wartości” programu Edytor rejestru (Regedit.exe) lub „Dodawanie i usuwanie informacji w rejestrze” oraz „Edytowanie danych rejestru” w przypadku programu Regedt32.exe.

1.

Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie Regedit w polu Otwórz, a następnie kliknij przycisk OK

2.

Odnajdź i kliknij następujący podklucz rejestru:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services

3.

Kliknij pozycję LanmanServer.

4.

Kliknij pozycję Parametry.

5.

Kliknij prawym przyciskiem myszy, aby dodać nową wartość DWORD (32-bitową).

6.

Wprowadź wartość smb2 w polu danych Nazwa i zmień wartość pola danych Wartość na 0.

7.

Zakończ.

8.

Uruchom ponownie usługę „Server”, wykonując jedną z następujących czynności:

- Otwórz konsolę MMC do zarządzania komputerem, przejdź do pozycji Usługi i aplikacje, kliknij pozycję Usługi, kliknij prawym przyciskiem myszy nazwę usługi Serwer i kliknij polecenie Uruchom ponownie. W menu podręcznym kliknij odpowiedź Tak.

- W wierszu polecenia z uprawnieniami administratora wpisz polecenie net stop server, a następnie net start server.

Wpływ obejścia. Host nie będzie komunikować się przy użyciu protokołu SMBv2, lecz przy użyciu protokołu SMB 1.0. Nie powinno to wpłynąć na usługi podstawowe, takie jak udostępnianie plików i drukarek. Będą one działać normalnie.

Jak cofnąć obejście tymczasowe:

1.

Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie Regedit w polu Otwórz, a następnie kliknij przycisk OK

2.

Odnajdź i kliknij następujący podklucz rejestru:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services

3.

Kliknij pozycję LanmanServer.

4.

Kliknij pozycję Parametry.

5.

Kliknij dwukrotnie wartość smb2 i zmień wartość pola danych Wartość na 1.

6.

Zakończ.

7.

Uruchom ponownie usługę „Server”, wykonując jedną z następujących czynności:

- Otwórz konsolę MMC do zarządzania komputerem, przejdź do pozycji Usługi i aplikacje, kliknij pozycję Usługi, kliknij prawym przyciskiem myszy nazwę usługi Serwer i kliknij polecenie Uruchom ponownie. W menu podręcznym kliknij odpowiedź Tak.

- W wierszu polecenia z uprawnieniami administratora wpisz polecenie net stop server, a następnie net start server.

Zablokowanie portów TCP 139 i 445 na zaporze

Te porty są używane do inicjowania połączenia ze składnikiem, którego dotyczy luka. Zablokowanie portów TCP 139 i 445 w zaporze może ułatwić ochronę systemów znajdujących się za zaporą przed atakami z wykorzystaniem tej luki w zabezpieczeniach. W celu zapobieżenia atakom mogącym wykorzystywać inne porty firma Microsoft zaleca blokowanie całego niepożądanego ruchu przychodzącego z Internetu. Więcej informacji na temat portów znajduje się w dodatku Przypisywanie portów TCP i UDP (j. ang.).

Wpływ obejścia: Kilka usług systemu Windows korzysta z portów, których dotyczy luka. Blokowanie łączności z tymi portami może uniemożliwić korzystanie z niektórych aplikacji lub usług. Poniżej wymieniono niektóre aplikacje lub usługi, których może dotyczyć ten problem:

Aplikacje korzystające z SMB (CIFS)

Aplikacje korzystające ze skrzynek mailslot lub nazwanych potoków (RPC over SMB)

Serwer (Udostępnianie plików i drukarek)

Zasady grupy

Logowanie do sieci

Rozproszony system plików (DFS)

Licencjonowanie serwera terminali

Bufor wydruku

Przeglądarka komputera

Lokalizator zdalnego wywoływania procedur

Usługa faksowania

Usługa indeksowania

Dzienniki wydajności i alerty

Program Systems Management Server

Usługa rejestrowania licencji

Cofnięcie obejścia. Odblokowanie portów TCP 139 i 445 na zaporze. Więcej informacji na temat portów znajduje się w dodatku Przypisywanie portów TCP i UDP (j. ang.).

Top of sectionTop of section

Często zadawane pytania dotyczące luki w zabezpieczeniach protokołu SMBv2 związanej z wartością poleceń – CVE-2009-2532

Jaki zakres obejmuje luka?  
Jest to luka umożliwiająca zdalne wykonanie kodu. Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać pełną kontrolę nad systemem, którego dotyczy luka. Osoba taka może wówczas instalować programy, przeglądać, zmieniać i usuwać dane oraz tworzyć nowe konta z pełnymi uprawnieniami.

Skąd bierze się luka?  
Luka wynika z używania niesprawdzonej kopii wartości polecenia podczas obsługi pakietów żądań negocjacji wieloprotokołowych SMB w wersji protokołu SMB (Server Message Block) firmy Microsoft.

Co to jest protokół Server Message Block 2 (SMBv2)?  
Server Message Block (SMB) to protokół udostępniania plików używany domyślnie na komputerach z systemem Windows. SMB Version 2.0 (SMBv2) to aktualizacja tego protokołu, która jest obsługiwana wyłącznie na komputerach z systemem Windows Server 2008, Windows 7 i Windows Vista. Użycie usługi SMBv2 jest możliwe tylko wtedy, gdy obsługuje ją zarówno klient, jak i serwer. Jeśli klient lub serwer nie obsługuje protokołu SMBv2, będzie używany protokół SMB 1.0. Decyzja o wyborze wersji protokołu SMB, która ma być użyta do operacji na plikach, zapada podczas fazy negocjacji. Podczas fazy negocjacji klient systemu Windows Vista anonsuje serwerowi, że może zrozumieć nowy protokół SMBv2. Jeśli serwer (z systemem Windows Server 2008 lub nowszym) obsługuje protokół SMBv2, protokół ten jest wybierany do użycia w dalszej komunikacji. W przeciwnym przypadku klient i serwer będą korzystać z protokołu SMB 1.0 oraz działać normalnie. Aby uzyskać więcej informacji na temat protokołu SMBv2, zobacz artykuł MSDN, Specyfikacja protokołu Server Message Block (SMB) Version 2 (j. ang.).

Czy ta luka dotyczy systemu Windows 7 w wersji Release Candidate?  
Tak. Lukę tę wykryto po wydaniu systemu Windows 7 w wersji Release Candidate. Zaleca się, aby użytkownicy systemu Windows 7 w wersji Release Candidate pobrali i zainstalowali aktualizację systemu. Ta luka nie dotyczy wersji ostatecznej systemów Windows 7 ani Windows Server 2008 R2.

Aktualizacje zabezpieczeń dostępne są w witrynach Microsoft Update i Windows Update. Aktualizacje zabezpieczeń są także dostępne w witrynie Microsoft Download Center. Najłatwiej je znaleźć, wyszukując wyrażenie „aktualizacja zabezpieczeń”.

Jakie mogą być skutki wykorzystania luki przez osobę atakującą?   
Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać pełną kontrolę nad systemem, którego dotyczy luka.

W jaki sposób osoba atakująca może wykorzystać tę lukę?   
Osoba atakująca może próbować wykorzystać tę lukę, tworząc specjalnie spreparowany pakiet SMB i wysyłając go do systemu, którego dotyczy luka.

Jakie systemy są szczególnie narażone na skutki tej luki?   
Ta luka dotyczy wszystkich systemów, w których jest uruchomiona usługa Serwer SMB. Na większe ryzyko związane z wykorzystaniem tej luki są narażone kontrolery domeny, ponieważ są to systemy z udziałami sieciowymi domyślnie otwartymi dla wszystkich użytkowników domeny.

W jaki sposób działa aktualizacja?   
Aktualizacja usuwa lukę, zmieniając sposób, w jaki protokół SMB obsługuje wartości poleceń pakietów SMB.

Czy luka była powszechnie znana w czasie, gdy opublikowano niniejszy biuletyn?  
Nie. Firma Microsoft otrzymała informacje o tej luce od odpowiedzialnego użytkownika.

Czy firma Microsoft otrzymała zgłoszenia o wykorzystaniu luki w czasie, gdy opublikowano niniejszy biuletyn?  
Nie. Firma Microsoft nie otrzymała żadnych informacji o tym, że luka ta była szeroko wykorzystywana do atakowania użytkowników i nie spotkała się z przykładami odpowiednich kodów w czasie, gdy został opublikowany niniejszy biuletyn.

Top of sectionTop of section
Top of sectionTop of section

Luka w zabezpieczeniach protokołu SMBv2 związana z negocjacją – CVE-2009-3103

W sposobie, w jaki oprogramowanie firmy Microsoft obsługujące protokół SMB (Server Message Block) obsługuje specjalnie spreparowane pakiety SMB, występuje luka umożliwiająca wykonanie nieuwierzytelnionego kodu zdalnego. Wykorzystanie tej luki nie wymaga uwierzytelnienia, pozwalając osobie atakującej na jej wykorzystanie jej poprzez wysłanie specjalnie spreparowanego pakietu SMB do komputera z uruchomioną usługą Serwer. Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać pełną kontrolę nad systemem.

Aby wyświetlić tę lukę w zabezpieczeniach jako standardową pozycję na liście znanych luk i zagrożeń, zobacz CVE-2009-3103.

Czynniki ograniczające zagrożenie wynikające z luki w zabezpieczeniach protokołu SMBv2 związanej z negocjacją – CVE-2009-3103

Ograniczenie sprowadza się do odpowiedniego ustawienia, typowej konfiguracji lub najważniejszej wskazówki ogólnej, które istnieją w stanie domyślnym i mogą zmniejszyć zagrożenie wykorzystaniem omawianej luki w zabezpieczeniach. W tej sytuacji pomocne mogą być następujące czynniki ograniczające zagrożenie:

Sprawdzone metody działania stosowane w zaporach oraz standardowe domyślne konfiguracje zapór mogą pomóc w zabezpieczeniu sieci przed atakami spoza obszaru działania przedsiębiorstwa. Zgodnie ze standardowymi zasadami działania zaleca się, aby w systemach połączonych z Internetem była otwarta jak najmniejsza liczba portów.

W systemie Windows Vista ustawienie profilu sieci na „Publiczna” powoduje, że system nie jest zagrożony przez omawianą lukę, ponieważ niepożądane przychodzące pakiety sieciowe są domyślnie blokowane.

Ta luka nie dotyczy wersji RTM (Release to Manufacturing) systemów Windows 7 ani Windows Server 2008 R2.

Top of sectionTop of section

Obejścia problemu spowodowanego przez lukę w zabezpieczeniach protokołu SMBv2 związaną z negocjacją – CVE-2009-3103

Obejście oznacza wprowadzenie zmiany ustawienia lub konfiguracji, która nie powoduje wyeliminowania samej luki, lecz może pomóc w zablokowaniu znanych kierunków ataku przed zastosowaniem aktualizacji Firma Microsoft przetestowała następujące obejścia i przedstawią swoją opinię w kwestii ograniczania przez nie funkcjonalności:

Wyłączenie obsługi protokołu SMB v2

Uwaga Zobacz artykuł 975517 bazy wiedzy Microsoft Knowledge Base, aby użyć automatycznej opcji naprawy firmy Microsoft w celu zastosowania lub cofnięcia tego obejścia.

Aby zmodyfikować klucz rejestru, wykonaj następujące czynności:

Uwaga Nieprawidłowe korzystanie z Edytora rejestru może być przyczyną poważnych problemów, w wyniku których może być konieczna ponowna instalacja systemu operacyjnego. Firma Microsoft nie może zagwarantować rozwiązania problemów wynikających z nieprawidłowego użycia Edytora Rejestru. Zmian w rejestrze można dokonywać wyłącznie na własne ryzyko. Informacje na temat sposobu modyfikacji rejestru można znaleźć w temacie Pomocy „Zmienianie kluczy i wartości” programu Edytor rejestru (Regedit.exe) lub „Dodawanie i usuwanie informacji w rejestrze” oraz „Edytowanie danych rejestru” w przypadku programu Regedt32.exe.

1.

Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie Regedit w polu Otwórz, a następnie kliknij przycisk OK

2.

Odnajdź i kliknij następujący podklucz rejestru:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services

3.

Kliknij pozycję LanmanServer.

4.

Kliknij pozycję Parametry.

5.

Kliknij prawym przyciskiem myszy, aby dodać nową wartość DWORD (32-bitową).

6.

Wprowadź wartość smb2 w polu danych Nazwa i zmień wartość pola danych Wartość na 0.

7.

Zakończ.

8.

Uruchom ponownie usługę „Server”, wykonując jedną z następujących czynności:

- Otwórz konsolę MMC do zarządzania komputerem, przejdź do pozycji Usługi i aplikacje, kliknij pozycję Usługi, kliknij prawym przyciskiem myszy nazwę usługi Serwer i kliknij polecenie Uruchom ponownie. W menu podręcznym kliknij odpowiedź Tak.

- W wierszu polecenia z uprawnieniami administratora wpisz polecenie net stop server, a następnie net start server.

Wpływ obejścia. Host nie będzie komunikować się przy użyciu protokołu SMBv2, lecz przy użyciu protokołu SMB 1.0. Nie powinno to wpłynąć na usługi podstawowe, takie jak udostępnianie plików i drukarek. Będą one działać normalnie.

Jak cofnąć obejście tymczasowe:

1.

Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie Regedit w polu Otwórz, a następnie kliknij przycisk OK

2.

Odnajdź i kliknij następujący podklucz rejestru:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services

3.

Kliknij pozycję LanmanServer.

4.

Kliknij pozycję Parametry.

5.

Kliknij dwukrotnie wartość smb2 i zmień wartość pola danych Wartość na 1.

6.

Zakończ.

7.

Uruchom ponownie usługę „Server”, wykonując jedną z następujących czynności:

- Otwórz konsolę MMC do zarządzania komputerem, przejdź do pozycji Usługi i aplikacje, kliknij pozycję Usługi, kliknij prawym przyciskiem myszy nazwę usługi Serwer i kliknij polecenie Uruchom ponownie. W menu podręcznym kliknij odpowiedź Tak.

- W wierszu polecenia z uprawnieniami administratora wpisz polecenie net stop server, a następnie net start server.

Zablokowanie portów TCP 139 i 445 na zaporze

Te porty są używane do inicjowania połączenia ze składnikiem, którego dotyczy luka. Zablokowanie portów TCP 139 i 445 w zaporze może ułatwić ochronę systemów znajdujących się za zaporą przed atakami z wykorzystaniem tej luki w zabezpieczeniach. W celu zapobieżenia atakom mogącym wykorzystywać inne porty firma Microsoft zaleca blokowanie całego niepożądanego ruchu przychodzącego z Internetu. Więcej informacji na temat portów znajduje się w dodatku Przypisywanie portów TCP i UDP (j. ang.).

Wpływ obejścia: Kilka usług systemu Windows korzysta z portów, których dotyczy luka. Blokowanie łączności z tymi portami może uniemożliwić korzystanie z niektórych aplikacji lub usług. Poniżej wymieniono niektóre aplikacje lub usługi, których może dotyczyć ten problem:

Aplikacje korzystające z SMB (CIFS)

Aplikacje korzystające ze skrzynek mailslot lub nazwanych potoków (RPC over SMB)

Serwer (Udostępnianie plików i drukarek)

Zasady grupy

Logowanie do sieci

Rozproszony system plików (DFS)

Licencjonowanie serwera terminali

Bufor wydruku

Przeglądarka komputera

Lokalizator zdalnego wywoływania procedur

Usługa faksowania

Usługa indeksowania

Dzienniki wydajności i alerty

Program Systems Management Server

Usługa rejestrowania licencji

Cofnięcie obejścia. Odblokowanie portów TCP 139 i 445 na zaporze. Więcej informacji na temat portów znajduje się w dodatku Przypisywanie portów TCP i UDP (j. ang.).

Top of sectionTop of section

Często zadawane pytania dotyczące luki w zabezpieczeniach protokołu SMBv2 związanej z negocjacją – CVE-2009-3103

Jaki zakres obejmuje luka?  
Jest to luka umożliwiająca zdalne wykonanie kodu. Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać pełną kontrolę nad systemem, którego dotyczy luka. Osoba taka może wówczas instalować programy, przeglądać, zmieniać i usuwać dane oraz tworzyć nowe konta z pełnymi uprawnieniami.

Skąd bierze się luka?  
Luka w zabezpieczeniach wynika z niewłaściwego analizowania żądań pakietów SMB w wersji protokołu SMB (Server Message Block) firmy Microsoft.

Co to jest protokół Server Message Block 2 (SMBv2)?  
Server Message Block (SMB) to protokół udostępniania plików używany domyślnie na komputerach z systemem Windows. SMB Version 2.0 (SMBv2) to aktualizacja tego protokołu, która jest obsługiwana wyłącznie na komputerach z systemem Windows Server 2008, Windows 7 i Windows Vista. Użycie usługi SMBv2 jest możliwe tylko wtedy, gdy obsługuje ją zarówno klient, jak i serwer. Jeśli klient lub serwer nie obsługuje protokołu SMBv2, będzie używany protokół SMB 1.0. Decyzja o wyborze wersji protokołu SMB, która ma być użyta do operacji na plikach, zapada podczas fazy negocjacji. Podczas fazy negocjacji klient systemu Windows Vista anonsuje serwerowi, że może zrozumieć nowy protokół SMBv2. Jeśli serwer (z systemem Windows Server 2008 lub nowszym) obsługuje protokół SMBv2, protokół ten jest wybierany do użycia w dalszej komunikacji. W przeciwnym przypadku klient i serwer będą korzystać z protokołu SMB 1.0 oraz działać normalnie. Aby uzyskać więcej informacji na temat protokołu SMBv2, zobacz artykuł MSDN, Specyfikacja protokołu Server Message Block (SMB) Version 2 (j. ang.).

Czy ta luka dotyczy systemu Windows 7 w wersji Release Candidate?  
Tak. Lukę tę wykryto po wydaniu systemu Windows 7 w wersji Release Candidate. Zaleca się, aby użytkownicy systemu Windows 7 w wersji Release Candidate pobrali i zainstalowali aktualizację systemu. Ta luka nie dotyczy wersji ostatecznej systemów Windows 7 ani Windows Server 2008 R2.

Aktualizacje zabezpieczeń dostępne są w witrynach Microsoft Update i Windows Update. Aktualizacje zabezpieczeń są także dostępne w witrynie Microsoft Download Center. Najłatwiej je znaleźć, wyszukując wyrażenie „aktualizacja zabezpieczeń”.

Jakie mogą być skutki wykorzystania luki przez osobę atakującą?   
Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać pełną kontrolę nad systemem, którego dotyczy luka.

W jaki sposób osoba atakująca może wykorzystać tę lukę?   
Osoba atakująca może próbować wykorzystać tę lukę, tworząc specjalnie spreparowany pakiet SMB i wysyłając go do systemu, którego dotyczy luka.

Jakie systemy są szczególnie narażone na skutki tej luki?   
Ta luka dotyczy wszystkich systemów, w których jest uruchomiona usługa Serwer SMB. Na większe ryzyko związane z wykorzystaniem tej luki są narażone kontrolery domeny, ponieważ są to systemy z udziałami sieciowymi domyślnie otwartymi dla wszystkich użytkowników domeny.

W jaki sposób działa aktualizacja?   
Aktualizacja usuwa lukę, zmieniając sposób analizowania specjalnie spreparowanych pakietów SMB w protokole SMB.

Czy luka była powszechnie znana w czasie, gdy opublikowano niniejszy biuletyn?  
Tak. Informacje o tej luce są znane publicznie. Została ona zarejestrowana w bazie danych znanych luk i zagrożeń pod numerem CVE-2009-3103.

Czy firma Microsoft otrzymała zgłoszenia o wykorzystaniu luki w czasie, gdy opublikowano niniejszy biuletyn?  
Nie. Firma Microsoft przed opublikowaniem niniejszego biuletynu zabezpieczeń nie otrzymała informacji, które wskazywałyby, że luka została publicznie wykorzystana do ataku na systemy klientów.

Top of sectionTop of section
Top of sectionTop of section

Informacje o aktualizacji

Narzędzia wykrywania i wdrażania oraz wskazówki

Zarządzanie oprogramowaniem oraz aktualizacjami zabezpieczeń, które należy zainstalować na serwerach oraz komputerach stacjonarnych i systemach przenośnych w organizacji. Więcej informacji można znaleźć w Centrum TechNet Update Management Center. Witryna sieci Web Microsoft TechNet Security zawiera dodatkowe informacje na temat zabezpieczeń w produktach firmy Microsoft.

Aktualizacje zabezpieczeń dostępne są w witrynach Microsoft Update i Windows Update. Aktualizacje zabezpieczeń są także dostępne w witrynie Microsoft Download Center. Najłatwiej je znaleźć, wyszukując wyrażenie „aktualizacja zabezpieczeń”.

Aktualizacje zabezpieczeń można także pobierać z Wykazu usługi Microsoft Update. Wykaz usługi Microsoft Update zawiera katalog zawartości z możliwością przeszukiwania, który udostępniany jest poprzez usługi Windows Update i Microsoft Update i obejmuje aktualizacje zabezpieczeń, sterowniki i dodatki Service Pack. Wyszukiwanie przy użyciu numeru biuletynu zabezpieczeń (np. „MS07-036”) pozwala dodać do koszyka wszystkie odpowiednie aktualizacje (w tym różne wersje językowe aktualizacji) i pobrać pliki do wybranego folderu. Więcej informacji na temat Wykazu usługi Microsoft Update można znaleźć w Często zadawanych pytaniach dotyczących Wykazu usługi Microsoft Update.

Uwaga Dnia 1 sierpnia 2009 r. firma Microsoft zakończyła świadczenie pomocy technicznej dla usługi Office Update oraz narzędzia Office Update Inventory Tool. Aby w dalszym ciągu otrzymywać najnowsze aktualizacje dla produktów Microsoft Office, skorzystaj z witryny Microsoft Update. Aby uzyskać więcej informacji, zobacz artykuł Informacje o witrynie Microsoft Office Update: Często zadawane pytania.

Porady dotyczące wykrywania i wdrażania

Firma Microsoft udziela porad dotyczących wykrywania i wdrażania aktualizacji zabezpieczeń. Porady takie zawierają zalecenia i informacje ułatwiające specjalistom IT poznanie obsługi różnych narzędzi do wykrywania i wdrażania aktualizacji zabezpieczeń. Więcej informacji na ten temat można znaleźć w artykule 961747 bazy wiedzy Microsoft Knowledge Base.

Narzędzie Microsoft Baseline Security Analyzer

Narzędzie Microsoft Baseline Security Analyzer umożliwia administratorom skanowanie lokalnych i zdalnych systemów w poszukiwaniu brakujących aktualizacji zabezpieczeń oraz typowych błędów konfiguracji zabezpieczeń. Więcej informacji na temat narzędzia MBSA można znaleźć w witrynie sieci Web Microsoft Baseline Security Analyzer.

W poniższej tabeli znajduje się podsumowanie możliwości wykrywania przez narzędzie MBSA dla omawianej aktualizacji zabezpieczeń.

Oprogramowanie MBSA 2.1

Windows Vista, Windows Vista z dodatkiem Service Pack 1 i Windows Vista z dodatkiem Service Pack 2

Tak

Windows Vista x64 Edition, Windows Vista x64 Edition z dodatkiem Service Pack 1 i Windows Vista x64 Edition z dodatkiem Service Pack 2

Tak

Windows Server 2008 dla systemów 32-bitowych i Windows Server 2008 z dodatkiem Service Pack 2 dla systemów 32-bitowych

Tak

Windows Server 2008 dla systemów z procesorem x64 i Windows Server 2008 z dodatkiem Service Pack 2 dla systemów z procesorem x64

Tak

Windows Server 2008 dla systemów z procesorem Itanium i Windows Server 2008 z dodatkiem Service Pack 2 dla systemów z procesorem Itanium

Tak

Aby uzyskać więcej informacji na temat narzędzia MBSA 2.1, zobacz Często zadawane pytania dotyczące narzędzia MBSA 2.1.

Windows Server Update Services

Korzystając z programu Windows Server Update Services (WSUS), administratorzy mogą wdrożyć najnowsze aktualizacje krytyczne i aktualizacje zabezpieczeń przeznaczonych dla systemu operacyjnego Windows 2000 i nowszych, pakietu Office XP i nowszych, programu Exchange Server 2003 oraz SQL Server 2000. Więcej informacji na temat sposobu wdrażania tej aktualizacji zabezpieczeń za pomocą programu Windows Server Update Services można znaleźć w witrynie sieci Web programu Windows Server Update Services.

Program Systems Management Server

Niniejsza tabela zawiera skrócone informacje dotyczące wykrywania i wdrażania programów przez narzędzie SMS w odniesieniu do omawianej aktualizacji zabezpieczeń.

OprogramowanieSMS 2.0SMS 2003 z dodatkiem SUITSMS 2003 z dodatkiem ITMUConfiguration Manager 2007

Windows Vista, Windows Vista z dodatkiem Service Pack 1 i Windows Vista z dodatkiem Service Pack 2

Nie

Nie

Zobacz Uwaga dotycząca systemu Windows Vista oraz systemu Windows Server 2008 poniżej

Tak

Windows Vista x64 Edition, Windows Vista x64 Edition z dodatkiem Service Pack 1 i Windows Vista x64 Edition z dodatkiem Service Pack 2

Nie

Nie

Zobacz Uwaga dotycząca systemu Windows Vista oraz systemu Windows Server 2008 poniżej

Tak

Windows Server 2008 dla systemów 32-bitowych i Windows Server 2008 z dodatkiem Service Pack 2 dla systemów 32-bitowych

Nie

Nie

Zobacz Uwaga dotycząca systemu Windows Vista oraz systemu Windows Server 2008 poniżej

Tak

Windows Server 2008 dla systemów z procesorem x64 i Windows Server 2008 z dodatkiem Service Pack 2 dla systemów z procesorem x64

Nie

Nie

Zobacz Uwaga dotycząca systemu Windows Vista oraz systemu Windows Server 2008 poniżej

Tak

Windows Server 2008 dla systemów z procesorem Itanium i Windows Server 2008 z dodatkiem Service Pack 2 dla systemów z procesorem Itanium

Nie

Nie

Zobacz Uwaga dotycząca systemu Windows Vista oraz systemu Windows Server 2008 poniżej

Tak

Do wykrycia aktualizacji zabezpieczeń programy SMS 2.0 i SMS 2003 mogą użyć narzędzia Security Update Inventory Tool (SUIT). Zobacz także Pliki do pobrania dla programu Systems Management Server 2.0.

Do wykrywania aktualizacji zabezpieczeń dostępnych w ramach usługi Microsoft Update i obsługiwanych przez usługi Windows Server Update Services program SMS 2003 może używać narzędzia SMS 2003 Inventory Tool for Microsoft Updates (ITMU). Więcej informacji na temat narzędzia SMS 2003 ITMU można znaleźć w witrynie SMS 2003 Inventory Tool for Microsoft Updates. Więcej informacji na temat narzędzi skanowania programu SMS można znaleźć w witrynie Narzędzia do wykrywania aktualizacji oprogramowania w programie SMS 2003. Zobacz także Pliki do pobrania dla programu Systems Management Server 2003.

Program System Center Configuration Manager 2007 korzysta z usług WSUS 3.0 do wykrywania aktualizacji. Więcej informacji o zarządzaniu aktualizacjami zabezpieczeń przy użyciu programu Configuration Manager 2007 można znaleźć w witrynie System Center Configuration Manager 2007.

Uwaga dotycząca systemu Windows Vista oraz systemu Windows Server 2008 Program Microsoft Systems Management Server 2003 z dodatkiem Service Pack 3 oferuje możliwość zarządzania systemem Windows Vista i Windows Server 2008.

Więcej informacji na temat programu SMS można znaleźć w witrynie sieci Web programu SMS.

Więcej szczegółowych informacji na ten temat można znaleźć w artykule 910723 bazy wiedzy Microsoft Knowledge Base. Podsumowanie comiesięcznych artykułów zawierających porady dotyczące wykrywania i wdrażania.

Tester zgodności aktualizacji i zestaw narzędzi do sprawdzania zgodności aplikacji

Często aktualizacje zapisują informacje w tych samych plikach i ustawieniach rejestru niezbędnych do działania określonych aplikacji użytkownika. Może to prowadzić do niezgodności i wydłużyć czas wdrażania aktualizacji zabezpieczeń. Dzięki składnikom narzędzia Tester zgodności aplikacji znajdującego się w Zestawie narzędzi do sprawdzania zgodności aplikacji można usprawnić proces testowania i sprawdzania poprawności aktualizacji systemu Windows.

W Zestawie narzędzi do sprawdzania zgodności aplikacji znajdują się niezbędne narzędzia i dokumentacja, które umożliwiają ocenę zgodności aplikacji przed wdrożeniem systemu Microsoft Windows Vista, aktualizacji dla systemu Windows, aktualizacji zabezpieczeń firmy Microsoft lub nowej wersji programu Windows Internet Explorer w środowisku użytkownika, oraz ograniczenie problemów ze zgodnością aplikacji.

Top of sectionTop of section

Wdrażania aktualizacji zabezpieczeń

Programy, których dotyczy problem

Informacje dotyczące określonej aktualizacji zabezpieczeń dla danego programu można uzyskać, klikając odpowiednie łącze:

Windows Vista (wszystkie wersje)

Tabela informacyjna

Następująca tabela zawiera informacje o aktualizacji zabezpieczeń dla tego oprogramowania. Dodatkowe informacje można znaleźć w tej sekcji, w podsekcji Informacje dotyczące wdrażania.

Uwzględnianie w przyszłych dodatkach Service Pack

Aktualizację dotyczącą tego problemu będzie zawierać przyszły dodatek Service Pack lub pakiet aktualizacyjny

Wdrażanie

 

Instalowanie bez interwencji użytkownika

Wszystkie obsługiwane 32-bitowe wersje systemu Windows Vista:
Windows6.0-KB975517-x86 /quiet

Wszystkie obsługiwane wersje x64 systemu Windows Vista:
Windows6.0-KB975517-x64 /quiet

Instalowanie bez ponownego uruchomienia

Wszystkie obsługiwane 32-bitowe wersje systemu Windows Vista:
Windows6.0-KB975517-x86 /quiet /norestart

Wszystkie obsługiwane wersje x64 systemu Windows Vista:
Windows6.0-KB975517-x64 /quiet /norestart

Dodatkowe informacje

Zapoznaj się z podsekcją Narzędzia wykrywania i wdrażania oraz wskazówki

Wymaganie dotyczące ponownego uruchomienia

 

Czy wymagane jest ponownie uruchomienie komputera?

Tak. Po zastosowaniu tej aktualizacji zabezpieczeń należy ręcznie ponownie uruchomić system.

Poprawianie na gorąco

Nie dotyczy.

Informacje dotyczące usuwania

Program WUSA.exe nie obsługuje odinstalowywania aktualizacji. Aby odinstalować aktualizację zainstalowaną za pośrednictwem programu WUSA, kliknij Panel sterowania, a następnie Zabezpieczenia. W części Windows Update kliknij polecenie Wyświetl zainstalowane aktualizacje i wybierz odpowiednią aktualizację z listy.

Informacje dotyczące plików

Zobacz artykuł 975517 bazy wiedzy Microsoft Knowledge Base

Weryfikacja klucza rejestru

Uwaga Klucz rejestru niezbędny do wykrycia obecności tej aktualizacji nie istnieje.

Informacje dotyczące wdrażania

Instalowanie aktualizacji

Podczas instalowania tej poprawki zabezpieczeń instalator sprawdza, czy dowolny z aktualizowanych plików na komputerze był wcześniej aktualizowany za pomocą poprawki hotfix firmy Microsoft.

Aby uzyskać więcej informacji na temat terminologii użytej w tym biuletynie, jak np. poprawka hotfix, zobacz artykuł 824684 bazy wiedzy Microsoft Knowledge Base.

W tej aktualizacji zabezpieczeń są obsługiwane następujące parametry Instalatora.

Obsługiwane parametry instalatora aktualizacji zabezpieczeń
ParametrOpis

/?, /h, /help

Wyświetlenie pomocy dotyczącej obsługiwanych parametrów.

/quiet

Zablokowanie wyświetlania komunikatów o stanie czy o błędach.

/norestart

W przypadku użycia łącznie z parametrem /quiet system nie zostanie uruchomiony ponownie po zakończeniu instalacji, nawet jeśli ponowne uruchomienie jest wymagane w celu jej zakończenia.

Uwaga Więcej informacji o instalatorze wusa.exe znajduje się w artykule 934307 bazy wiedzy Microsoft Knowledge Base.

Weryfikacja instalacji aktualizacji

Narzędzie Microsoft Baseline Security Analyzer

Aby sprawdzić, czy ta aktualizacja zabezpieczeń została zainstalowana w systemie, którego dotyczy luka, można skorzystać z narzędzia Microsoft Baseline Security Analyzer (MBSA). Więcej informacji na ten temat znajduje się w sekcji Narzędzia wykrywania i wdrażania oraz wskazówki, która znajduje się powyżej w niniejszym biuletynie.

Weryfikacja wersji pliku

Ze względu na to, że dostępne są różne wydania systemu Microsoft Windows, czynności do wykonania na określonym komputerze mogą być inne niż opisane poniżej. W takiej sytuacji należy wykonać odpowiednie kroki, korzystając z dokumentacji dotyczącej produktu.

1.

Kliknij przycisk Start, a następnie wpisz nazwę pliku aktualizacji w polu Rozpocznij wyszukiwanie.

2.

Gdy plik pojawi się w obszarze Programy, kliknij jego nazwę prawym przyciskiem myszy i wybierz polecenie Właściwości.

3.

Na karcie Ogólne porównaj rozmiar pliku z podanym w tabelach informacji o plikach znajdujących się w artykule Bazy wiedzy biuletynu.

4.

Możesz także kliknąć kartę Szczegóły i porównać takie informacje, jak wersja pliku i data modyfikacji, z podanymi w tabelach informacji o plikach znajdujących się w artykule Bazy wiedzy biuletynu.

5.

Ponadto możesz kliknąć kartę Poprzednie wersje, aby porównać informacje o poprzedniej wersji pliku z informacjami o jego nowej lub zaktualizowanej wersji.

Top of sectionTop of section
Top of sectionTop of section

Windows Server 2008 (wszystkie wersje)

Tabela informacyjna

Następująca tabela zawiera informacje o aktualizacji zabezpieczeń dla tego oprogramowania. Dodatkowe informacje można znaleźć w tej sekcji, w podsekcji Informacje dotyczące wdrażania.

Uwzględnianie w przyszłych dodatkach Service Pack

Aktualizację dotyczącą tego problemu będzie zawierać przyszły dodatek Service Pack lub pakiet aktualizacyjny

Wdrażanie

 

Instalowanie bez interwencji użytkownika

Windows Server 2008 dla systemów 32-bitowych i Windows Server 2008 z dodatkiem Service Pack 2 dla systemów 32-bitowych:
Windows6.0-KB975517-x86 /quiet

Windows Server 2008 dla systemów z procesorem x64 i Windows Server 2008 z dodatkiem Service Pack 2 dla systemów z procesorem x64:
Windows6.0-KB975517-x64 /quiet

Windows Server 2008 dla systemów z procesorem Itanium i Windows Server 2008 z dodatkiem Service Pack 2 dla systemów z procesorem Itanium:
Windows6.0-KB975517-ia64 /quiet

Instalowanie bez ponownego uruchomienia

Windows Server 2008 dla systemów 32-bitowych i Windows Server 2008 z dodatkiem Service Pack 2 dla systemów 32-bitowych:
Windows6.0-KB975517-x86 /quiet /norestart

Windows Server 2008 dla systemów z procesorem x64 i Windows Server 2008 z dodatkiem Service Pack 2 dla systemów z procesorem x64:
Windows6.0-KB975517-x64 /quiet /norestart

Windows Server 2008 dla systemów z procesorem Itanium i Windows Server 2008 z dodatkiem Service Pack 2 dla systemów z procesorem Itanium:
Windows6.0-KB975517-ia64 /quiet /norestart

Dodatkowe informacje

Zapoznaj się z podsekcją Narzędzia wykrywania i wdrażania oraz wskazówki

Wymaganie dotyczące ponownego uruchomienia

 

Czy wymagane jest ponownie uruchomienie komputera?

Tak. Po zastosowaniu tej aktualizacji zabezpieczeń należy ręcznie ponownie uruchomić system.

Poprawianie na gorąco

Nie dotyczy.

Informacje dotyczące usuwania

Program WUSA.exe nie obsługuje odinstalowywania aktualizacji. Aby odinstalować aktualizację zainstalowaną za pośrednictwem programu WUSA, kliknij Panel sterowania, a następnie Zabezpieczenia. W części Windows Update kliknij polecenie Wyświetl zainstalowane aktualizacje i wybierz odpowiednią aktualizację z listy.

Informacje dotyczące plików

Zobacz artykuł 975517 bazy wiedzy Microsoft Knowledge Base

Weryfikacja klucza rejestru

Uwaga Klucz rejestru niezbędny do wykrycia obecności tej aktualizacji nie istnieje.

Informacje dotyczące wdrażania

Instalowanie aktualizacji

Podczas instalowania tej poprawki zabezpieczeń instalator sprawdza, czy dowolny z aktualizowanych plików na komputerze był wcześniej aktualizowany za pomocą poprawki hotfix firmy Microsoft.

Aby uzyskać więcej informacji na temat terminologii użytej w tym biuletynie, jak np. poprawka hotfix, zobacz artykuł 824684 bazy wiedzy Microsoft Knowledge Base.

W tej aktualizacji zabezpieczeń są obsługiwane następujące parametry Instalatora.

Obsługiwane parametry instalatora aktualizacji zabezpieczeń
ParametrOpis

/?, /h, /help

Wyświetlenie pomocy dotyczącej obsługiwanych parametrów.

/quiet

Zablokowanie wyświetlania komunikatów o stanie czy o błędach.

/norestart

W przypadku użycia łącznie z parametrem /quiet system nie zostanie uruchomiony ponownie po zakończeniu instalacji, nawet jeśli ponowne uruchomienie jest wymagane w celu jej zakończenia.

Uwaga Więcej informacji o instalatorze wusa.exe znajduje się w artykule 934307 bazy wiedzy Microsoft Knowledge Base.

Weryfikacja instalacji aktualizacji

Narzędzie Microsoft Baseline Security Analyzer

Aby sprawdzić, czy ta aktualizacja zabezpieczeń została zainstalowana w systemie, którego dotyczy luka, można skorzystać z narzędzia Microsoft Baseline Security Analyzer (MBSA). Więcej informacji na ten temat znajduje się w sekcji Narzędzia wykrywania i wdrażania oraz wskazówki, która znajduje się powyżej w niniejszym biuletynie.

Weryfikacja wersji pliku

Ze względu na to, że dostępne są różne wydania systemu Microsoft Windows, czynności do wykonania na określonym komputerze mogą być inne niż opisane poniżej. W takiej sytuacji należy wykonać odpowiednie kroki, korzystając z dokumentacji dotyczącej produktu.

1.

Kliknij przycisk Start, a następnie wpisz nazwę pliku aktualizacji w polu Rozpocznij wyszukiwanie.

2.

Gdy plik pojawi się w obszarze Programy, kliknij jego nazwę prawym przyciskiem myszy i wybierz polecenie Właściwości.

3.

Na karcie Ogólne porównaj rozmiar pliku z podanym w tabelach informacji o plikach znajdujących się w artykule Bazy wiedzy biuletynu.

4.

Możesz także kliknąć kartę Szczegóły i porównać takie informacje, jak wersja pliku i data modyfikacji, z podanymi w tabelach informacji o plikach znajdujących się w artykule Bazy wiedzy biuletynu.

5.

Ponadto możesz kliknąć kartę Poprzednie wersje, aby porównać informacje o poprzedniej wersji pliku z informacjami o jego nowej lub zaktualizowanej wersji.

Top of sectionTop of section
Top of sectionTop of section
Top of sectionTop of section

Inne informacje:

Podziękowania

Firma Microsoft dziękuje wymienionym poniżej organizacjom i osobom za współpracę w dziedzinie ochrony klientów:

Matthieu Suiche z Netherlands Forensics Institute za zgłoszenie luki w zabezpieczeniach protokołu SMBv2 związanej z wartością poleceń (CVE-2009-2532)

Top of sectionTop of section

Microsoft Active Protections Program (MAPP)

W celu zwiększenia poziomu bezpieczeństwa swoich klientów firma Microsoft dostarcza informacje na temat luk w zabezpieczeniach największym dostawcom oprogramowania zabezpieczającego przed publikacją comiesięcznej aktualizacji zabezpieczeń. Dzięki informacjom dotyczącym luk w zabezpieczeniach dostawcy oprogramowania zabezpieczającego mogą zaoferować swoim klientom zaktualizowane poprawki za pośrednictwem programów lub urządzeń zabezpieczających np. programów antywirusowych, sieciowych systemów wykrywania włamań lub hostowych systemów zapobiegania włamaniom. Aby sprawdzić, czy dostawcy oprogramowania zabezpieczającego zapewniają aktywną ochronę, odwiedź witryny poszczególnych partnerów programu, których listę znaleźć można w sekcji Microsoft Active Protections Program (MAPP) Partners.

Top of sectionTop of section

Pomoc techniczna

Klienci mogą uzyskać pomoc techniczną w Biurze Obsługi Klienta Microsoft pod numerem 0 801 308 801 (koszt połączenia to jeden impuls połączenia lokalnego) lub (0-22) 594 19 99 w godzinach od 9:00 do 17:00, od poniedziałku do piątku. Połączenia z działem pomocy technicznej związane z aktualizacjami zabezpieczeń są bezpłatne. Dodatkowe informacje dotyczące możliwości skorzystania z pomocy technicznej można znaleźć w witrynie Pomoc i obsługa techniczna firmy Microsoft.

Klienci międzynarodowi mogą uzyskać pomoc w lokalnych przedstawicielstwach firmy Microsoft. Pomoc techniczna związana z aktualizacjami zabezpieczeń jest bezpłatna. Informacje o sposobie kontaktowania się z pomocą techniczną firmy Microsoft są dostępne w międzynarodowej witrynie sieci Web pomocy technicznej.

Top of sectionTop of section

Zrzeczenie odpowiedzialności

Informacje w bazie wiedzy Microsoft Knowledge Base są dostarczane „tak jak są” bez jakiejkolwiek gwarancji. Firma Microsoft odrzuca wszelkie gwarancje, wyraźne i dorozumiane, w tym gwarancje dotyczące wartości handlowej i przydatności do określonego celu. Firma Microsoft Corporation ani jej dostawcy w żadnym wypadku nie ponoszą odpowiedzialności za jakiekolwiek szkody, w tym bezpośrednie, pośrednie, przypadkowe, wynikowe, utratę zysków handlowych lub szkody specjalne, nawet jeżeli firmę Microsoft Corporation lub jej dostawców powiadomiono o możliwości zaistnienia takich szkód. W niektórych stanach wyłączenie lub ograniczenie odpowiedzialności za straty wynikowe lub przypadkowe, a więc i powyższe ograniczenia, nie mają zastosowania.

Top of sectionTop of section

Wersje

Wersja 1.0 (13 października 2009 r.): Opublikowano biuletyn.

Wersja 1.1 (14 października 2009 r.): Dodano wyjaśnienia w sekcji Często zadawane pytania dotyczące luki w zabezpieczeniach protokołu SMBv2 związanej z negocjacją — CVE-2009-3103 dotyczące pytania „Czy firma Microsoft otrzymała zgłoszenia o wykorzystaniu luki w czasie, gdy opublikowano niniejszy biuletyn?”.

Top of sectionTop of section

Do początku stronyDo początku strony