Бюллетень корпорации Майкрософт по безопасности MS06-008

В методе обработки системой Windows запросов веб-клиента существует уязвимость удаленного выполнения кода, которая позволяет воспользовавшемуся ею злоумышленнику получить полный контроль над уязвимой системой.

•	Чтобы воспользоваться уязвимостью, злоумышленник должен иметь действительные учетные данные. Этой уязвимостью не могут удаленно воспользоваться анонимные пользователи. Тем не менее, уязвимый компонент доступен удаленно пользователям со стандартными учетными записями. В некоторых конфигурациях анонимные пользователи могут пройти проверку с помощью гостевой учетной записи. Дополнительные сведения см. в рекомендациях по безопасности корпорации Майкрософт 906574.
•	По умолчанию служба «Веб-клиент» отключена в системах Windows Server 2003 и Windows Server 2003 с пакетом обновления 1 (SP1). Система становится уязвимой только после того, как администратор включит эту службу вручную.
•	Стандартные параметры конфигурации брандмауэра позволяют защитить сеть от атак из-за пределов среды организации. На подключенных к Интернету системах рекомендуется держать открытыми минимально необходимое количество портов. По умолчанию брандмауэр подключения к Интернету, включенный в систему Windows XP с пакетом обновления 1 и Windows Server 2003, блокирует уязвимые порты, не позволяя им реагировать на попытки воспользоваться данной уязвимостью из сети.

Top of section

Корпорация Майкрософт проверила представленные ниже методы обхода проблемы. Они не устраняют уязвимость, однако позволяют блокировать известные направления атак. Если методы обхода снижают функциональность, в следующем разделе это отмечено особо.

•	Отключите службу «Веб-клиент» Отключение службы «Веб-клиент» поможет защитить уязвимую систему от попыток воспользоваться уязвимостью. Чтобы отключить службу «Веб-клиент», выполните следующие действия. 1. Нажмите кнопку Пуск и выберите пункт Панель управления .Кроме того, можно последовательно выбрать пункты Настройка и Панель управления. 2. Дважды щелкните Администрирование. 3. Дважды щелкните Службы. 4. Дважды щелкните WebClient. 5. В списке Тип запуска выберите пункт Отключено. 6. Щелкните Стоп, а затем нажмите кнопку OK. Службу «Веб-клиент» также можно остановить, введя в командной строке следующую команду: sc stop WebClient & sc config WebClient start= disabled Побочные эффекты Если служба «Веб-клиент» отключена, запросы WebDAV (Web Distributed Authoring and Versioning) не передаются. Если служба «Веб-клиент» отключена, любые службы, зависящие от службы «Веб-клиент», не будут запущены, а в системном журнале будет зарегистрировано сообщение об ошибке. Пользователи Windows Server 2003 не смогут использовать функцию «Открыть как веб-папку».
•	Используйте параметры групповой политики для отключения службы «Веб-клиент» во всех подверженных уязвимости системах, не требующих этого средства. Так как служба «Веб-клиент» является возможным вектором атаки, отключите ее с помощью настройки групповой политики. Запуск данной службы можно отключить на локальном уровне, уровне узла, домена или отделения организации, воспользовавшись функциональными возможностями объекта групповой политики в доменном окружении Windows 2000 или Server 2003. Примечание. Можно также ознакомиться с руководством Windows 2003 Security Server Guide. В данном руководстве содержатся сведения о порядке отключения служб. Дополнительные сведения о групповой политике можно найти на следующих веб-узлах корпорации Майкрософт: • Пошаговое руководство для знакомства с функциональных возможностей групповой политики • Групповая политика системы Windows 2000 • Групповая политика системы Windows Server 2003 Побочные эффекты Если служба «Веб-клиент» отключена, запросы WebDAV (Web Distributed Authoring and Versioning) не передаются. Если служба «Веб-клиент» отключена, любые службы, зависящие от службы «Веб-клиент», не будут запущены, а в системном журнале будет зарегистрировано сообщение об ошибке. Пользователи Windows Server 2003 не смогут использовать функцию «Открыть как веб-папку».
•	Заблокируйте порты TCP 139 и 445 на брандмауэре Хотя WebDAV использует TCP-порт 80 для исходящего трафика, при попытке воспользоваться уязвимостью для подключения к этой службе могут применяться TCP-порты 139 и 445. Их блокировка на брандмауэре может защитить системы за брандмауэром от возможных атак рассмотренного типа. Для предотвращения возможных атак через другие порты рекомендуется блокировать весь непредусмотренный входящий трафик из Интернета. Для получения дополнительных сведений о портах посетите следующий веб-узел.
•	Для защиты от попыток воспользоваться уязвимостью из сети используйте персональные брандмауэры, например брандмауэр подключения к Интернету, входящий в Windows XP и Windows Server 2003. По умолчанию брандмауэр подключения к Интернету из состава Windows XP и Windows Server 2003 помогает защитить подключение к Интернету, блокируя непредусмотренный входящий трафик. Рекомендуется блокировать все непредусмотренные входящие соединения с Интернетом. В системе Windows XP с пакетом обновления 2 данная функция называется брандмауэром Windows. Чтобы включить брандмауэр подключения к Интернету с помощью мастера настройки сети, необходимо выполнить следующие действия. 1. Нажмите кнопку Пуск и выберите пункт Панель управления. 2. Переключитесь к виду по категориям, щелкните ссылку Сеть и подключения к Интернету, а затем — Установка или настройка параметров домашней или малой сети. Брандмауэр включается в случае выбора конфигурации, которая предусматривает непосредственное подключение компьютера к Интернету. Чтобы настроить брандмауэр подключения к Интернету вручную, необходимо выполнить следующие действия. 1. Нажмите кнопку Пуск и выберите пункт Панель управления. 2. Переключитесь к виду по категориям, щелкните ссылку Сеть и подключения к Интернету, а затем — Сетевые подключения. 3. Щелкните правой кнопкой мыши нужное подключение и выберите пункт Свойства. 4. Откройте вкладку Дополнительно. 5. Установите флажок Защитить мое подключение к Интернету и нажмите кнопку OK. Примечание. Если нужно разрешить некоторым программам взаимодействовать через брандмауэр, щелкните Настройки на вкладке Дополнительно, затем выберите нужные программы, протоколы и службы.
•	Для защиты от попыток воспользоваться уязвимостью из сети включите дополнительную фильтрацию TCP/IP, если система поддерживает данную возможность. Чтобы заблокировать непредусмотренный входящий трафик, включите расширенную фильтрацию TCP/IP. Дополнительные сведения о настройке фильтрации TCP/IP см. в статье 309798 базы знаний Майкрософт.
•	Для защиты от попыток воспользоваться уязвимостью из сети заблокируйте уязвимые порты уязвимых систем при помощи IPSec. Используйте безопасность IP-протокола (IPSec) для защиты работы в сети. Для получения подробных сведения о IPSec и использовании фильтров обратитесь к статьям 313190 и 813878 базы знаний Майкрософт.

Top of section

Какова область воздействия данной уязвимости?
Это уязвимость удаленного выполнения кода. Воспользовавшись этой уязвимостью, злоумышленник может установить полный контроль над системой. Таким образом, злоумышленник сможет устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными полномочиями. Чтобы попытаться воспользоваться уязвимостью, злоумышленник должен иметь действительные учетные данные. Данной уязвимостью не могут воспользоваться анонимные пользователи. Злоумышленник может также использовать эту уязвимость для атаки локального повышения уровня полномочий.

В чем причина уязвимости?
Причиной уязвимости является неконтролируемый буфер в службе «Веб-клиент».

Что такое служба «Веб-клиент»?
Служба «Веб-клиент» позволяет приложениям получать доступ к документам в сети Интернет. Веб-клиент расширяет сетевые возможности Windows, позволяя стандартным приложениям Win32 создавать, читать и записывать файлы на файл-серверах Интернет, используя протокол WebDAV. WebDAV — это протокол доступа к файлам, описанный в стандарте XML и передающийся посредством протокола HTTP. Используя стандарт HTTP, WebDAV работает поверх существующей инфраструктуры Интернета. Например, WebDAV пропускается брандмауэрами и маршрутизаторами.

Если служба «Веб-клиент» остановлена, использование мастера веб-публикаций для публикации данных в Интернете через протокол WebDAV будет запрещено. Если служба отключена, любые службы, явно зависящие от нее, не будут запущены. Дополнительные сведения о протоколе WebDAV см. в документации по продукту.

Что может сделать злоумышленник, воспользовавшись этой уязвимостью?
Воспользовавшись этой уязвимостью, злоумышленник может установить полный контроль над системой. Таким образом, злоумышленник сможет устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными полномочиями.

Кто может воспользоваться этой уязвимостью?
Чтобы попытаться воспользоваться уязвимостью, злоумышленник должен иметь действительные учетные данные. Данной уязвимостью не могут воспользоваться анонимные пользователи. Хотя служба «Веб-клиент» используется для поддержки протокола WebDAV через Интернет, прошедший проверку злоумышленник должен предпринять действия, необходимые для того, чтобы воспользоваться уязвимостью. Если в уязвимой системе включена учетная запись гостя, эта атака может быть осуществлена любым пользователем. Дополнительные сведения см. в рекомендациях по безопасности корпорации Майкрософт 906574.

Каким образом злоумышленник может воспользоваться уязвимостью?
Злоумышленник сначала должен пройти проверку подлинности в системе. Злоумышленник может попытаться воспользоваться данной уязвимостью непосредственно через сеть, создав и отправив системе серию специально созданных сообщений. Получив такие сообщения, система может запустить на выполнение необходимый злоумышленнику программный код.

Какие системы в первую очередь подвергаются риску?
Все уязвимые операционные системы подвержены этой уязвимости. Брандмауэр подключения к Интернету, включенный в системы Windows XP с пакетом обновления 1 (SP1) и Windows Server 2003, блокирует уязвимые порты, не позволяя им реагировать на попытки воспользоваться данной уязвимостью из сети. В системеWindows XP с пакетом обновления 1 (SP1) брандмауэр подключения к Интернету по умолчанию отключен. В системе Windows Server 2003 служба «Веб-клиент» отключена по умолчанию.

Примечание. По умолчанию после включения общего доступа к файлам и принтерам, при котором разрешается доступ из сети, автоматически создаются исключения. По умолчанию данный доступ ограничен локальной подсетью.

Можно ли воспользоваться данной уязвимостью через Интернет?
Да. Злоумышленник может попытаться воспользоваться данной уязвимостью через Интернет. Стандартные параметры конфигурации брандмауэра позволяют защитить от атак из Интернета. Корпорация Майкрософт предоставляет информацию о защите компьютеров. Конечные пользователи могут обратиться на веб-узел Защитите свой компьютер. ИТ-профессионалы могут обратиться на веб-узел Security Guidance Center.

Как действует обновление?
Обновление устраняет данную уязвимость посредством изменения службой «Веб-клиент» способа проверки длины сообщения, выполняемой перед передачей сообщения в выделенный буфер.

Было ли объявлено об этой уязвимости до выпуска этого бюллетеня безопасности?
Нет. Корпорация Майкрософт получила информацию об этой уязвимости из закрытых источников.

Получала ли корпорация Майкрософт к моменту выпуска этого бюллетеня безопасности какие-либо сообщения о том, что эта уязвимость была использована злоумышленниками?
Нет. Корпорация Майкрософт не получала никакой информации, указывающей на то, что эта уязвимость была открыто использована для атак на пользователей, и ей не были представлены никакие доказательства публикации концепции кода до первоначального выпуска этого бюллетеня безопасности.

Каким образом данная уязвимость связана с уязвимостью веб-клиента, которая исправляется с помощью обновления безопасности MS05-028?
Обе уязвимости обнаружены в службе «Веб-клиент». Однако данное обновление безопасности исправляет новую уязвимость, которая не описана в бюллетене безопасности MS05-028. Обновление безопасности MS05-028 помогает защититься от уязвимости, рассмотренной в соответствующем бюллетене, но не предусматривает устранения новой уязвимости. Данное обновление не заменяет обновление безопасности MS05-028. Чтобы защититься от обеих уязвимостей, следует установить и данное обновление, и обновление, входящее в состав бюллетеня безопасности MS05-028.

Top of section

Необходимые условия
Для установки этого обновления безопасности требуется система Windows Server 2003 или Windows Server 2003 с пакетом обновления 1 (SP1).

Включение в будущие пакеты обновления
Обновление для устранения данной проблемы будет включено в будущий пакет обновления или в сборник обновлений.

Сведения об установке

Программа обновления поддерживает следующие параметры командной строки.

Примечание. Несколько параметров можно использовать в одной командной строке. Для обеспечения обратной совместимости обновления безопасности поддерживают параметры, которые использовались в программе установки более ранней версии. Дополнительные сведения о поддерживаемых параметрах установки можно найти в статье 262841 базы знаний Майкрософт. Для получения подробной информации о программе установки Update.exe посетите веб-узел Microsoft TechNet.

Сведения о развертывании

Чтобы установить обновление безопасности без вмешательства пользователя, введите следующую команду:

Windowsserver2003-kb911927-x86-enu /quiet

Примечание. Использование параметра /quiet приведет к отключению всех сообщений. Сообщения о сбое также не будут выводиться. При использовании параметра /quiet администратор должен проверить успешность установки при помощи какого-либо из поддерживаемых методов. Кроме того, при использовании этого параметра администратор должен проверить файл KB911927.log на наличие сообщений о сбое.

Чтобы установить обновление безопасности на компьютере под управлением Windows Server 2003 без последующей перезагрузки, введите следующую команду:

Windowsserver2003-kb911927-x86-enu /norestart

Сведения о развертывании данного обновления с помощью служб Software Update Services см. на веб-узле Software Update Services. Для получения дополнительной информации о развертывании данного обновления безопасности с помощью служб Windows Server Update Services посетите веб-узел служб Windows Server Update Services. Это обновление будет также доступно на узле Microsoft Update.

Необходимость перезагрузки

После установки обновления компьютер необходимо перезагрузить. Для получения дополнительной информации о причинах необходимости перезагрузки ознакомьтесь со статьей 887012 базы знаний Майкрософт.

Сведения об удалении

Для удаления обновления воспользуйтесь компонентом «Установка и удаление программ» панели управления.

Кроме того, системные администраторы могут использовать для этой цели программу Spuninst.exe. Программа Spuninst.exe находится в папке %Windir%\$NTUninstallKB911927$\Spuninst.

Сведения о файлах

Английская версия обновления имеет атрибуты, указанные в следующей таблице. Дата и время указаны в формате всемирного универсального времени (по Гринвичу). При просмотре сведений о файле в системе производится перевод соответствующих значений в местное время. Чтобы определить разницу между временем по Гринвичу и местным временем, воспользуйтесь вкладкой Часовой пояс компонента «Дата и время панели управления».

Windows Server 2003 Web Edition, Windows Server 2003 Standard Edition, Windows Server 2003 Datacenter Edition, Windows Server 2003 Enterprise Edition, Windows Small Business Server 2003, Windows Server 2003 Web Edition с пакетом обновления 1 (SP1), Windows Server 2003 Standard Edition с пакетом обновления 1 (SP1), Windows Server 2003 Enterprise Edition с пакетом обновления 1 (SP1), Windows Server 2003 Datacenter Edition с пакетом обновления 1 (SP1), Windows Server 2003 R2 Web Edition, Windows Server 2003 R2 Standard Edition, Windows Server 2003 R2 Datacenter Edition, Windows Server 2003 R2 Enterprise Edition, Windows Small Business Server 2003 R2:

Windows Server, 2003 Enterprise Edition для платформы Itanium; Windows Server 2003, Datacenter Edition для платформы Itanium; Windows Server 2003, Enterprise Edition с пакетом обновления 1 (SP1) для платформы Itanium и Windows Server 2003, Datacenter Edition с пакетом обновления 1 (SP1) для платформы Itanium:

Windows Server 2003 Standard x64 Edition, Windows Server 2003 Enterprise x64 Edition, Windows Server 2003 Datacenter x64 Edition, Windows Server 2003 R2 Standard x64 Edition, Windows Server 2003 R2 Enterprise x64 Edition, а также Windows Server 2003 R2, Datacenter x64 Edition:

Примечания. При установке данных обновлений на компьютере программа установки проверяет, не выполнялось ли обновление файлов ранее с помощью исправлений Майкрософт.

Если один из файлов был уже обновлен другим исправлением, установщик скопирует в систему файлы RTMQFE, SP1QFE или SP2QFE, а в противном случае — файлы RTMGDR, SP1GDR или SP2GDR. Обновления безопасности могут не содержать всех этих вариантов. Дополнительную информацию о поведении такого рода см. в статье 824994 базы знаний Майкрософт.

Дополнительную информацию о поведении такого рода см. в статье 824994 базы знаний Майкрософт.

Для получения дополнительной информации о программе установки Update.exe посетите веб-узел Microsoft TechNet.

Для получения подробных сведений о терминах, встречающихся в этом бюллетене (таких как исправление), обратитесь к статье 824684 базы знаний Майкрософт.

Проверка успешного применения обновления

Необходимые условия
Это обновление безопасности требует наличия на компьютере системы Microsoft Windows XP с пакетом обновления 1 (SP1) или более поздней версии. Дополнительные сведения см. в статье 322389 базы знаний Майкрософт.

Включение в будущие пакеты обновления
Исправление этой уязвимости будет включено в будущий пакет обновления.

Сведения об установке

Программа обновления поддерживает следующие параметры командной строки.

Примечание. Несколько параметров можно использовать в одной командной строке. Для обеспечения обратной совместимости обновления безопасности поддерживают параметры, которые использовались в программе установки более ранней версии. Дополнительные сведения о поддерживаемых параметрах установки можно найти в статье 262841 базы знаний Майкрософт. Для получения подробной информации о программе установки Update.exe посетите веб-узел Microsoft TechNet.

Сведения о развертывании

Чтобы установить обновление безопасности без вмешательства пользователя на компьютере под управлением Microsoft Windows XP, введите следующую команду:

Windowsxp-kb911927-x86-enu /quiet

Примечание. Использование параметра /quiet приведет к отключению всех сообщений. Сообщения о сбое также не будут выводиться. При использовании параметра /quiet администратор должен проверить успешность установки при помощи какого-либо из поддерживаемых методов. Кроме того, при использовании этого параметра администратор должен проверить файл KB911927.log на наличие сообщений о сбое.

Чтобы установить обновление безопасности на компьютере под управлением Windows XP без последующей перезагрузки, введите следующую команду:

Windowsxp-kb911927-x86-enu /norestart

Сведения о развертывании данного обновления с помощью служб Software Update Services см. на веб-узле Software Update Services. Для получения дополнительной информации о развертывании данного обновления безопасности с помощью служб Windows Server Update Services посетите веб-узел служб Windows Server Update Services. Это обновление будет также доступно на узле Microsoft Update.

Необходимость перезагрузки

После установки обновления компьютер необходимо перезагрузить. Для получения дополнительной информации о причинах необходимости перезагрузки ознакомьтесь со статьей 887012 базы знаний Майкрософт.

Сведения об удалении

Для удаления обновления безопасности воспользуйтесь компонентом «Установка и удаление программ» панели управления.

Кроме того, системные администраторы могут использовать для этой цели программу Spuninst.exe. Программа Spuninst.exe находится в папке %Windir%\$NTUninstallKB911927$\Spuninst.

Сведения о файлах

Английская версия обновления имеет атрибуты, указанные в следующей таблице. Дата и время указаны в формате всемирного универсального времени (по Гринвичу). При просмотре сведений о файле в системе производится перевод соответствующих значений в местное время. Чтобы определить разницу между временем по Гринвичу и местным временем, воспользуйтесь вкладкой Часовой пояс компонента «Дата и время панели управления».

Windows XP Home Edition с пакетом обновления 1 (SP1), Windows XP Professional с пакетом обновления 1 (SP1), Windows XP Tablet PC Edition, Windows XP Media Center Edition, Windows XP Home Edition с пакетом обновления 2 (SP2), Windows XP Professional с пакетом обновления 2 (SP2), Windows XP Tablet PC Edition 2005 и Windows XP Media Center Edition 2005:

Windows XP Professional x64:

Примечания. При установке данных обновлений на компьютере программа установки проверяет, не выполнялось ли обновление файлов ранее с помощью исправлений Майкрософт.

Если один из файлов был уже обновлен другим исправлением, установщик скопирует в систему файлы RTMQFE, SP1QFE или SP2QFE, а в противном случае — файлы RTMGDR, SP1GDR или SP2GDR. Обновления безопасности могут не содержать всех этих вариантов. Дополнительную информацию о поведении такого рода см. в статье 824994 базы знаний Майкрософт.

Для получения дополнительной информации о программе установки Update.exe посетите веб-узел Microsoft TechNet.

Для получения подробных сведений о терминах, встречающихся в этом бюллетене (таких как исправление), обратитесь к статье 824684 базы знаний Майкрософт.

Проверка успешного применения обновления