Форумы

Защита от уязвимости кода, описанной в бюллетене безопасности MS04-011
--------------------------------------------------------------------------------
Опубликовано: 22 апреля 2004 г.
Обновлено: 28 апреля 2004 г.
--------------------------------------------------------------------------------
На этой странице…
Защита домашнего компьютера
Защита от уязвимости кода PCT/SSL
Защита от уязвимости кода LSASS
Дополнителная информация
Бюллетень безопасности Microsoft MS04-011 (EN)
Статья 187498 Microsoft Knowledge Base (EN)
Терминология
Вирус (EN)
Сетевой червь (EN)
Общая информация
В корпорацию Майкрософт поступают сообщения о появлении в интернете программных средств, осуществляющих поиск и использование подтвержденных уязвимостей, о которых сообщалось в исправлении безопасности от 13 апреля. Действие этих вредоносных программных средств направлено на протокол Private Communications Transport (PCT), реализация которого входит в библиотеку Microsoft Secure Sockets Layer (SSL). Кроме того, подтверждено наличие уязвимости кода в службе LSASS. Корпорация Майкрософт считает инциденты, о которых сообщается, вероятными и серьезными, и убедительно просит всех своих клиентов как можно скорее установить исправление безопасности MS04-011 (EN), так же как и остальные важные исправления безопасности, опубликованные 13 апреля.
Внимание: загрузите и установите критические обновления безопасности Windows. Пользователям Microsoft Windows® необходимо немедленно загрузить новые критические обновления безопасности на веб-узле Windows Update.
Защита домашнего компьютера
Если вы уже установили исправление безопасности MS04-011 (EN), то ваш компьютер уже защищен. Всегда важно предпринимать необходимые меры для обеспечения безопасности компьютера.
Выполните три действия для защиты компьютера (EN)
Корпорация Майкрософт предпринимает все меры, чтобы помочь пользователям в поддержании безопасности компьютерной среды. Эта страница будет обновляться по мере поступления сведений о том, как устранить данную уязвимость.
Защита от уязвимости кода PCT/SSL
На данный момент по этому вопросу имеется следующая информация.
Для того чтобы избежать риска пользователям личных компьютеров и рабочих станций, не являющихся веб-серверами, следует установить последние обновления, загрузив их с веб-узла центра загрузки обновлений Windows Update.
Если вами было установлено и развернуто исправление безопасности MS04-011 (EN), ваша система защищена от данной угрозы.
Данная уязвимость распространяется на все программы, использующие протокол SSL. Хотя протокол SSL в основном используется службами Internet Information Services, взаимодействие с которыми осуществляется по протоколу HTTP через порт 443, вполне вероятно, что уязвимой является любая служба, реализующая протокол SSL на платформе, подверженной данной угрозе. Список таких служб включает, но не ограничивается следующими:
Microsoft Internet Information Services 4.0
Microsoft Internet Information Services 5.0
Microsoft Internet Information Services 5.1
Microsoft Exchange Server 5.5
Microsoft Exchange Server 2000
Microsoft Exchange Server 2003
Microsoft Analysis Services 2000 (входит в состав поставки Microsoft SQL Server™ 2000)
Все программы независимых производителей, использующие протокол PCT. Уязвимость не распространяется на SQL Server 2000, так как он специально блокирует соединения по протоколу PCT.
Если у вас установлена ОС Microsoft Windows XP или Windows 2000, и включена поддержка SSL, ваша система находится под угрозой.
Если у вас развернута ОС Windows Server™ 2003 и включена поддержка PCT в SSL, ваша система также находится под угрозой.
Если вы все еще проводите оценку и тестирование исправления безопасности MS04 011, вам следует незамедлительно выполнить приведенные на данной странице действия, позволяющие снизить риск.
Корпорацией Майкрософт были протестированы различные способы защиты уязвимости протокола PCT/SSL. Хотя данные меры не устраняют проблему, они могут помочь предотвратить известные атаки. Если способ защиты связан с ограничением функциональности, это будет отмечено ниже.
Отключение поддержки протокола PCT через системный реестр
Описанный здесь способ подробно изложен в статье 187498 (EN) базы знаний Майкрософт (Microsoft Knowledge Base).
Данная последовательность действий позволяет отключить поддержку протокола PCT 1.0, предотвращая его использование его уязвимости для атаки на систему.
Внимание! Неправильное использование редактора реестра может привести к серьезным проблемам и необходимости переустановки операционной системы. Корпорация Майкрософт не гарантирует решение проблем, возникших в результате неправильной работы с редактором реестра. Ответственность за использование редактора реестра несет пользователь. Перед внесением изменений в реестр, всегда создавайте его резервную копию.
Информацию о редактировании системного реестра можно найти в разделе «Изменение ключей и значений» справочной системы редактора реестра (Regedit.exe) или в разделах «Добавление и удаление информации из реестра» и «Редактирование данных реестра» справочной системы программы Regedt32.exe.
Нажмите кнопку «Пуск», выберите пункт «Выполнить» и введите:
regedt32
Нажмите кнопку «OK».
В редакторе реестра найдите следующий ключ:
HKey_Local_MachineSystemCurrentControlSetControlSecurityProvidersSCHANNELProtocolsPCT 1.0Server
В меню «Правка» выберите пункт «Добавить значение» для создания нового значения REG_BINARY с названием «Отключен» в параметрах ключа Server.
В списке «Тип данных» выберите тип REG_BINARY.
В поле ввода «Название значения» введите:
«Отключен»
Нажмите кнопку «OK».
Примечание. Если такое значение уже существует, дважды щелкните на нем мышью, чтобы изменить текущее значение, и перейдите к шагу 3.
В окне редактирования двоичного параметра задайте новое значение равное 0, для чего введите:
00000000
Нажмите кнопку «OK» и перезагрузите компьютер.
Примечание. Чтобы включить поддержку PCT, измените значение ключа Enabled на 00000001 и перезагрузите компьютер.
Если вам кажется, что вы подверглись атаке со стороны нарушителя, который использовал уязвимости, описанные в бюллетенях безопасности Майкрософт, вы можете обратиться в службу технической поддержки пользователей продукции Майкрософт или в местное управление правоохранительных органов. Связаться со службой технической поддержки в Северной Америке можно по горячей линии безопасности ПК (866) PCSAFETY (727-23-38). Российкие клиенты могут связаться со службой поддержки одним из способов, приведенных на веб-узле корпорации Майкрософт, по адресу support.microsoft.com. Распространение вредоносных программных средств является преступлением, и корпорация Майкрософт намерена тесно сотрудничать с правоохранительными органами, чтобы найти лицо (лиц), ответственное за данный инцидент.
Защита от уязвимости кода LSASS
В настоящее время об этой уязвимости известно следующее:
Системы Windows 2000 и Windows XP могут быть подвержены атаке удаленных пользователей. В системах Windows Server 2003 и 64-битной версии Windows XP также содержится уязвимый код, но использовать уязвимость может только локальный пользователь с правами администратора.
Система Microsoft Windows NT 4.0 не содержит уязвимого кода.
Для отражения атак, направленных из-за пределов корпоративной сети, следует использовать брандмауэры подключений как в стандартной конфигурации, так и настроенные согласно рекомендациям корпорации Майкрософт. Так, на всех компьютерах, подключенных к интернету, рекомендуется оставить открытыми наименьшее возможное количество портов.
Корпорацией Майкрософт были протестированы различные способы защиты уязвимости протокола PCT/SSL. Хотя данные меры не устраняют проблему, они могут помочь предотвратить известные атаки. Если способ защиты связан с ограничением функциональности, это будет отмечено ниже.
Следует использовать индивидуальный брандмауэр, например, встроенный в системы Windows XP и Windows Server 2003 брандмауэр подключения к интернету.
При использовании встроенного брандмауэра подключения к интернету в Windows XP или Windows Server 2003 по умолчанию блокируется все неразрешенные входящие подключения. Рекомендуется блокировать все неразрешенные входящие подключения из интернета.
Чтобы включить брандмауэр подключения к интернету с помощью мастера настройки сети, выполните следующие действия.
Нажмите кнопку «Пуск», выберите «Панель управления».
Выберите категорию «Сеть и подключения к интернету», а затем щелкните ссылку «Установка или настройка параметров домашней или малой сети». Брандмауэр подключения к интернету будет включен, если в мастере установки сети выбрать конфигурацию с непосредственным подключением к интернету.
Чтобы включить брандмауэр подключения к интернету вручную, выполните следующие действия.
Нажмите кнопку «Пуск», выберите «Панель управления».
Выберите категорию «Сеть и подключения к интернету», затем щелкните ссылку «Сетевые подключения».
Щелкните правой кнопкой мыши на подключении, для которого требуется включить брандмауэр подключения к интернету, и выберите «Свойства».
Щелкните вкладку «Дополнительно».
Поставьте флажок «Защитить мое подключение к интернету» и нажмите кнопку «ОК».
Примечание. Чтобы разрешить работу определенных программ и служб через брандмауэр, щелкните «Параметры» на вкладке «Дополнительно» и выберите необходимые программы, протоколы и службы.
При настройке брандмауэра следует заблокировать:
UPD-порты 135, 137, 138 и TCP-порты 135, 139, 445 и 593;
Все неразрешенные входящие подключения к портам с номерами больше 1024;
Все прочие отдельно настроенные порты RPC.
Эти порты используются для начала соединения с удаленным вызовом процедур (RPC). Блокирование этих портов брандмауэром позволит уберечь системы, защищенные брандмауэром, от использования уязвимого кода. Кроме того, убедитесь, что все прочие отдельно настроенные порты RPC на удаленном компьютере также заблокированы. Для предотвращения атак, которые могут использовать другие порты, корпорация Майкрософт рекомендует блокировать все неразрешенные входящие подключения из интернета. Дополнительные сведения о портах, используемых RPC, см. на странице назначений портов TCP и UDP.
Включите расширенную фильтрацию TCP/IP в системах, поддерживающих фильтрацию TCP/IP
Для блокирования неразрешенных входящих подключений можно использовать фильтрацию TCP/IP. Дополнительные сведения о настройке фильтрации TCP/IP см. в статье 309798 базы знаний Майкрософт (Microsoft Knowledge Base).
Заблокируйте уязвимые порты при помощи IPSec
Используйте протокол IPSec (Internet Protocol Security) для защиты сетевых подключений. Дополнительные сведения о протоколе IPSec и о применении фильтров см. в статьях 313910 и 813878 базы знаний Майкрософт (Microsoft Knowledge Base).