Бюллетень по безопасности Microsoft MS06-040

В службе сервера имеется уязвимость удаленного выполнения кода, которая может позволить воспользовавшемуся ею злоумышленнику установить полный контроль над системой.

•	Стандартные параметры конфигурации брандмауэра позволяют защитить сеть от атак из-за пределов среды организации. На непосредственно подключенных к Интернету системах рекомендуется держать открытыми минимально необходимое количество портов.

Top of section

Корпорация Майкрософт проверила представленные ниже методы обхода проблемы. Хотя данные меры не устраняют саму уязвимость, они позволяют блокировать известные направления атак. Если методы обхода снижают функциональность, в следующем разделе это отмечено особо.

•

Заблокируйте порты TCP 139 и 445 на брандмауэре: Этот порт используется для установки соединения с уязвимым компонентом. Блокировка TCP-портов 139 и 445 на брандмауэре позволяет защитить системы за этим брандмауэром от попыток воспользоваться данной уязвимостью. Для предотвращения возможных атак через другие порты корпорация Майкрософт рекомендует блокировать весь непредусмотренный входящий трафик из Интернета. Для получения дополнительных сведений о портах посетите следующий веб-узел. Побочные эффекты: Уязвимые порты используются несколькими службами системы Windows. Блокирование доступа к портам может привести к тому, что различные службы и приложения перестанут работать. Некоторые из служб и приложений, на работу которых может повлиять блокировка портов, перечислены ниже. Приложения, использующие протокол SMB (CIFS) Приложения, использующие именованные каналы или слоты сообщений (протокол RPC по SMB) Серверы (совместное использование файлов и принтеров) Групповые политики Вход в сеть Распределенная файловая система (DFS) Лицензирование сервера терминалов Служба очереди печати Обозреватель компьютеров Локатор удаленного вызова процедур (RPC) Служба факса Служба индексирования Журналы и оповещения производительности Сервер Systems Management Server (SMS) Служба учета лицензий

•

Для защиты от попыток воспользоваться этой уязвимостью по сети используйте персональный брандмауэр, например брандмауэр подключения к Интернету, входящий в состав систем Windows XP и Windows Server 2003. По умолчанию брандмауэр подключения к Интернету из состава Windows XP и Windows Server 2003 помогает защитить подключение к Интернету, блокируя непредусмотренный входящий трафик. Рекомендуется блокировать все непредусмотренные входящие соединения из Интернета. В системе Windows XP с пакетом обновления 2 (SP2) данная функция называется брандмауэром Windows. Чтобы включить брандмауэр подключения к Интернету с помощью мастера настройки сети, необходимо выполнить следующие действия. 1. Нажмите кнопку Пуск и выберите пункт Панель управления. 2. Переключитесь к виду по категориям, щелкните ссылку Сеть и подключения к Интернету, а затем — Установка или настройка параметров домашней или малой сети. Брандмауэр включается в случае выбора конфигурации, которая предусматривает непосредственное подключение компьютера к Интернету. Чтобы настроить брандмауэр подключения к Интернету вручную, необходимо выполнить следующие действия. 1. Нажмите кнопку Пуск и выберите пункт Панель управления. 2. Переключитесь к виду по категориям, щелкните ссылку Сеть и подключения к Интернету, а затем — Сетевые подключения. 3. Щелкните правой кнопкой мыши нужное подключение и выберите пункт Свойства. 4. Откройте вкладку Дополнительно. 5. Установите флажок Защитить мое подключение к Интернету и нажмите кнопку ОК. Примечание. Если нужно разрешить некоторым программам взаимодействовать через брандмауэр, щелкните Настройки на вкладке Дополнительно, затем выберите нужные программы, протоколы и службы.

•	Для защиты от попыток воспользоваться уязвимостью из сети включите дополнительную фильтрацию TCP/IP, если система поддерживает данную возможность Чтобы заблокировать непредусмотренный входящий трафик, включите расширенную фильтрацию TCP/IP. Дополнительные сведения о настройке фильтрации TCP/IP см. в статье 309798 базы знаний Майкрософт.
•	Для защиты от попыток воспользоваться уязвимостью из сети заблокируйте уязвимые порты систем с помощью IPsec. Используйте безопасность IP-протокола (IPSec) для защиты работы в сети. Для получения подробных сведения о IPSec и использовании фильтров обратитесь к статьям 313190 и 813878 базы знаний Майкрософт.

Top of section

Какова область воздействия данной уязвимости?
Это уязвимость удаленного выполнения кода. Воспользовавшись этой уязвимостью, злоумышленник может в удаленном режиме захватить полный контроль над системой, Таким образом, злоумышленник сможет устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными полномочиями.

В чем причина уязвимости?
Причиной уязвимости является неконтролируемый буфер в службе сервера.

Что такое служба сервера?
Служба сервера обеспечивает поддержку протокола RPC, печать файлов и доступ к именованным каналам по сети. Служба сервера предоставляет общий доступ к локальным ресурсам, (таким как диски и принтеры) для других пользователей сети. Кроме того, служба сервера предоставляет связь посредством именованных каналов между приложениями, запущенными на разных компьютерах, которая используется для протокола RPC.

Что может сделать злоумышленник, воспользовавшись этой уязвимостью?
Воспользовавшись уязвимостью, злоумышленник может получить полный контроль над системой.

Кто может воспользоваться этой уязвимостью?
Данной уязвимостью может попытаться воспользоваться любой анонимный пользователь, отправивший системе особым образом сконструированное сообщение.

Каким образом злоумышленник может воспользоваться уязвимостью?
Злоумышленник может воспользоваться данной уязвимостью для создания специально сконструированного сообщения и отправки его в уязвимую систему. Такое сообщение может привести к выполнению кода в уязвимой системе.

Какие системы в первую очередь подвергаются риску?
Все рабочие станции и серверы подвержены риску в связи с этой уязвимостью, однако система Windows 2000 находится в особой опасности из-за особых характеристик уязвимости и уязвимого пути кода.

Можно ли воспользоваться данной уязвимостью через Интернет?
Да. Злоумышленник может попытаться воспользоваться данной уязвимостью через Интернет. Стандартные параметры конфигурации брандмауэра позволяют защитить от атак из Интернета. Корпорация Майкрософт предоставляет сведения, помогающие защитить персональный компьютер. Конечные пользователи могут обратиться на веб-узел Защитите свой компьютер. ИТ-профессионалы могут обратиться на веб-узел Security Guidance Center.

Как действует обновление?
Обновление устраняет данную уязвимость посредством изменения способа проверки службой сервера длины сообщения, которое поступает по протоколу RPC, перед передачей сообщения в выделенный буфер.

Было ли объявлено об этой уязвимости до выпуска этого бюллетеня безопасности?
Нет. Корпорация Майкрософт получила информацию об этой уязвимости из достоверных источников.

Получала ли корпорация Майкрософт к моменту выпуска этого бюллетеня безопасности какие-либо сообщения о том, что эта уязвимость была использована злоумышленниками?
Да. После выпуска данного бюллетеня безопасности корпорация Майкрософт получила сведения об использовании злоумышленниками данной уязвимости.

Помогает ли установка этого обновления безопасности защититься от атак с применением опубликованного открытого кода, который использует данную уязвимость?
Да. Данное обновление безопасности устраняет используемую уязвимость. Уязвимости, устраняемой данным обновлением, присвоен классификационный номер CVE-2006-3439.

Каким образом данная уязвимость связана с уязвимостью, которая исправляется с помощью обновления для системы безопасности MS05-035?
Хотя обе уязвимости были обнаружены в службе сервера, данное обновление устраняет новую уязвимость, которая не описывалась в бюллетене безопасности корпорации Майкрософт MS06-035. MS06-035 помогает защитить от уязвимости, описанной в данном бюллетене, но не устраняет ее. Данное обновление не заменяет обновление безопасности MS06-035. Чтобы защититься от обеих уязвимостей, следует установить и данное обновление, и обновление, входящее в состав бюллетеня по безопасности MS06-035.

Top of section

Необходимые условия
Для установки этого обновления безопасности требуется система Windows Server 2003 или Windows Server 2003 с пакетом обновления 1 (SP1).

Примечание. Обновления для систем безопасности систем Microsoft Windows Server 2003 и Microsoft Windows Server 2003 с пакетом обновления 1 (SP1) можно также применить к системе Microsoft Windows Server 2003 R2.

Включение в будущие пакеты обновления:
Обновление для устранения данной проблемы будет включено в будущий пакет обновления или в сборник обновлений.

Сведения об установке

Программа обновления поддерживает следующие параметры командной строки.

Примечание. Несколько параметров можно использовать в одной командной строке. Для обеспечения обратной совместимости обновлениями безопасности поддерживаются параметры, которые использовались в программе установки более ранней версии. Дополнительные сведения о поддерживаемых параметрах установки можно найти в статье 262841 базы знаний Майкрософт. Для получения подробной информации о программе установки Update.exe посетите веб-узел Microsoft TechNet.

Сведения о развертывании

Чтобы установить обновление безопасности без вмешательства пользователя, введите следующую команду:

Windowsserver2003-kb921883-v2-x86-enu /quiet

Примечание. Использование параметра /quiet приведет к отключению всех сообщений. Сообщения о сбое также не будут выводиться. При использовании параметра /quiet администратор должен проверить успешность установки при помощи какого-либо из поддерживаемых методов. Кроме того, при использовании этого параметра администратор должен проверить файл KB921883.log на наличие сообщений о сбое.

Чтобы установить обновление безопасности на компьютере под управлением Windows Server 2003 без последующей перезагрузки, введите следующую команду:

Windowsserver2003-kb921883-v2-x86-enu /norestart

Для получения более подробных сведений о развертывании данного обновления с помощью служб Software Update Services посетите веб-узел Software Update Services. Для получения дополнительной информации о развертывании данного обновления безопасности с помощью служб Windows Server Update Services посетите веб-узел служб Windows Server Update Services. Это обновление будет также доступно на узле Microsoft Update.

Необходимость перезагрузки

После установки обновления компьютер необходимо перезагрузить.

Данное обновление безопасности не поддерживает горячее обновление HotPatching. Дополнительные сведения о функции HotPatching и развертывании обновления для системы безопасности с помощью нее см. в статье 897341 базы знаний Майкрософт.

Примечание. Не все обновления для системы безопасности поддерживают функцию HotPatching. Некоторые обновления для системы безопасности, поддерживающие функцию HotPatching, могут потребовать перезагрузки сервера после установки обновления для системы безопасности. Функция HotPatching поддерживается только в том случае, если все файлы, заменяемые обновлением для системы безопасности, входят в выпуск General Distribution Release (GDR). Дополнительные сведения об этом см. в статье 897341 базы знаний Майкрософт и в статье 824994 базы знаний Майкрософт.

Сведения об удалении

Для удаления обновления воспользуйтесь компонентом «Установка и удаление программ» панели управления.

Кроме того, системные администраторы могут использовать для этой цели программу Spuninst.exe. Программа Spuninst.exe находится в папке %Windir%\$NTUninstallKB921883$\Spuninst.

Сведения о файлах

Английская версия обновления содержит версии файлов, приведенные в следующей таблице. Дата и время указаны в формате всемирного универсального времени (по Гринвичу). При просмотре сведений о файле в системе производится перевод соответствующих значений в местное время. Чтобы определить разницу между временем по Гринвичу и местным временем, воспользуйтесь вкладкой Часовой пояс компонента Дата и время панели управления.

Windows Server 2003 Web Edition, Windows Server 2003 Standard Edition, Windows Server 2003 Datacenter Edition, Windows Server 2003 Enterprise Edition, Windows Small Business Server 2003, Windows Server 2003 Web Edition с пакетом обновления 1 (SP1), Windows Server 2003 Standard Edition с пакетом обновления 1 (SP1), Windows Server 2003 Enterprise Edition с пакетом обновления 1 (SP1), Windows Server 2003 Datacenter Edition с пакетом обновления 1 (SP1), Windows Server 2003 R2 Web Edition, Windows Server 2003 R2 Standard Edition, Windows Server 2003 R2 Datacenter Edition, Windows Server 2003 R2 Enterprise Edition, Windows Small Business Server 2003 R2:

Windows Server 2003 Enterprise Edition для платформы Itanium; Windows Server 2003 Datacenter Edition для платформы Itanium; Windows Server 2003 Enterprise Edition с пакетом обновления 1 (SP1) для платформы Itanium и Windows Server 2003 Datacenter Edition с пакетом обновления 1 (SP1) для платформы Itanium:

Windows Server 2003 Standard x64 Edition, Windows Server 2003 Enterprise x64 Edition, Windows Server 2003 Datacenter x64 Edition, Windows Server 2003 R2 Standard x64 Edition, Windows Server 2003 R2 Enterprise x64 Edition, а также Windows Server 2003 R2, Datacenter x64 Edition:

Примечание. При установке данных обновлений программа установки проверяет, не выполнялось ли ранее с помощью исправлений Майкрософт обновление файлов, которые предстоит обновить.

Если один из файлов был обновлен ранее другим исправлением, установщик копирует на компьютер файлы RTMQFE, SP1QFE и SP2QFE. а в противном случае — файлы RTMGDR, SP1GDR или SP2GDR. Обновления безопасности могут не содержать всех этих вариантов. Дополнительную информацию о поведении такого рода см. в статье 824994 базы знаний Майкрософт.

Для получения дополнительной информации о программе установки Update.exe посетите веб-узел Microsoft TechNet.

Для получения подробных сведений о терминологии, встречающейся в этом бюллетене, например, исправление, обратитесь к статье 824684 базы знаний Майкрософт.

Проверка успешного применения обновления

Необходимые условия
Это обновление безопасности требует наличия на компьютере системы Microsoft Windows XP с пакетом обновления 1 (SP1) или более поздней версии. Дополнительные сведения см. в статье 322389 базы знаний Майкрософт.

Включение в будущие пакеты обновления:
Исправление этой уязвимости будет включено в будущий пакет обновления.

Сведения об установке

Программа обновления поддерживает следующие параметры командной строки.

Примечание. Несколько параметров можно использовать в одной командной строке. Для обеспечения обратной совместимости обновлениями безопасности поддерживаются параметры, которые использовались в программе установки более ранней версии. Дополнительные сведения о поддерживаемых параметрах установки можно найти в статье 262841 базы знаний Майкрософт. Для получения подробной информации о программе установки Update.exe посетите веб-узел Microsoft TechNet.

Сведения о развертывании

Чтобы установить обновление безопасности без вмешательства пользователя на компьютере под управлением Microsoft Windows XP, введите следующую команду:

Windowsxp-kb921883-x86-enu /quiet

Примечание. Использование параметра /quiet приведет к отключению всех сообщений. Сообщения о сбое также не будут выводиться. При использовании параметра /quiet администратор должен проверить успешность установки при помощи какого-либо из поддерживаемых методов. Кроме того, при использовании этого параметра администратор должен проверить файл KB921883.log на наличие сообщений о сбое.

Чтобы установить обновление безопасности на компьютере под управлением Windows XP без последующей перезагрузки, введите следующую команду:

Windowsxp-kb921883-x86-enu /norestart

Для получения более подробных сведений о развертывании данного обновления с помощью служб Software Update Services посетите веб-узел Software Update Services. Для получения дополнительной информации о развертывании данного обновления безопасности с помощью служб Windows Server Update Services посетите веб-узел служб Windows Server Update Services. Это обновление будет также доступно на узле Microsoft Update.

Необходимость перезагрузки

После установки обновления компьютер необходимо перезагрузить.

Сведения об удалении

Для удаления обновления безопасности воспользуйтесь компонентом «Установка и удаление программ» панели управления.

Кроме того, системные администраторы могут использовать для этой цели программу Spuninst.exe. Программа Spuninst.exe находится в папке %Windir%\$NTUninstallKB921883$\Spuninst.

Сведения о файлах

Английская версия обновления содержит версии файлов, приведенные в следующей таблице. Дата и время указаны в формате всемирного универсального времени (по Гринвичу). При просмотре сведений о файле в системе производится перевод соответствующих значений в местное время. Чтобы определить разницу между временем по Гринвичу и местным временем, воспользуйтесь вкладкой Часовой пояс компонента Дата и время панели управления.

Windows XP Home Edition с пакетом обновления 1 (SP1), Windows XP Professional с пакетом обновления 1 (SP1), Windows XP Tablet PC Edition, Windows XP Media Center Edition, Windows XP Home Edition с пакетом обновления 2 (SP2), Windows XP Professional с пакетом обновления 2 (SP2), Windows XP Tablet PC Edition 2005 и Windows XP Media Center Edition 2005:

Windows XP Professional x64:

Примечание. При установке данных обновлений программа установки проверяет, не выполнялось ли ранее с помощью исправлений Майкрософт обновление файлов, которые предстоит обновить.

Если один из файлов был обновлен ранее другим исправлением, установщик копирует на компьютер файлы RTMQFE, SP1QFE и SP2QFE. а в противном случае — файлы RTMGDR, SP1GDR или SP2GDR. Обновления безопасности могут не содержать всех этих вариантов. Дополнительную информацию о поведении такого рода см. в статье 824994 базы знаний Майкрософт.

Для получения дополнительной информации о программе установки Update.exe посетите веб-узел Microsoft TechNet.

Для получения подробных сведений о терминологии, встречающейся в этом бюллетене, например, исправление, обратитесь к статье 824684 базы знаний Майкрософт.

Проверка успешного применения обновления

Необходимые условия
При установке в системе Windows 2000 это обновление требует пакета обновления 4 (SP4). Данное обновление безопасности требует установки Small Business Server 2000 с пакетом обновления 1a (SP1a) или Small Business Server 2000 с системой Windows 2000 Server с пакетом обновления 4 (SP4).

Корпорация Майкрософт проверила на наличие уязвимости продукты указанных выше версий. Другие версии больше не поддерживаются либо не являются уязвимыми. Для получения сведений о жизненном цикле поддержки используемой версии продукта посетите веб-узел Microsoft Support Lifecycle.

Сведения о получении пакета обновления последней версии см. в статье 260910 базы знаний Майкрософт.

Включение в будущие пакеты обновления:
Обновление безопасности для этой проблемы может войти в будущий сборник обновлений.

Сведения об установке

Программа обновления поддерживает следующие параметры командной строки.

Примечание. Несколько параметров можно использовать в одной командной строке. Для обеспечения обратной совместимости обновлениями безопасности поддерживаются параметры, которые использовались в программе установки более ранней версии. Дополнительные сведения о поддерживаемых параметрах установки можно найти в статье 262841 базы знаний Майкрософт. Для получения подробной информации о программе установки Update.exe посетите веб-узел Microsoft TechNet. Для получения подробных сведений о терминологии, встречающейся в этом бюллетене, например, исправление, обратитесь к статье 824684 базы знаний Майкрософт.

Сведения о развертывании

Чтобы установить обновление безопасности без вмешательства пользователя на компьютере под управлением Windows 2000 с пакетом обновления 4 (SP4), введите следующую команду:

Windows2000-kb921883-x86-enu /quiet

Примечание. Использование параметра /quiet приведет к отключению всех сообщений. Сообщения о сбое также не будут выводиться. При использовании параметра /quiet администратор должен проверить успешность установки при помощи какого-либо из поддерживаемых методов. Кроме того, при использовании этого параметра администратор должен проверить файл KB921883.log на наличие сообщений о сбое.

Чтобы установить обновление безопасности на компьютере под управлением Windows 2000 с пакетом обновления 4 (SP4) без последующей перезагрузки, введите следующую команду:

Windows2000-kb921883-x86-enu /norestart

Сведения о развертывании данного обновления с помощью служб Software Update Services см. на веб-узле Software Update Services. Для получения дополнительной информации о развертывании данного обновления безопасности с помощью служб Windows Server Update Services посетите веб-узел служб Windows Server Update Services. Это обновление будет также доступно на узле Microsoft Update.

Необходимость перезагрузки

После установки обновления компьютер необходимо перезагрузить.

Сведения об удалении

Для удаления обновления безопасности воспользуйтесь компонентом «Установка и удаление программ» панели управления.

Кроме того, системные администраторы могут использовать для этой цели программу Spuninst.exe. Программа Spuninst.exe находится в папке %Windir%\$NTUninstallKB921883$\Spuninst.

Сведения о файлах

Английская версия обновления содержит версии файлов, приведенные в следующей таблице. Дата и время указаны в формате всемирного универсального времени (по Гринвичу). При просмотре сведений о файле в системе производится перевод соответствующих значений в местное время. Чтобы определить разницу между временем по Гринвичу и местным временем, воспользуйтесь вкладкой Часовой пояс компонента Дата и время панели управления.

Windows 2000 с пакетом обновления 4 (SP4) и Small Business Server 2000:

Проверка успешного применения обновления