Poradce pro zabezpečení
Poradce microsoftu pro zabezpečení 899588
Ohrožení zabezpečení v technologie Plug and Play by mohlo umožnit vzdálené spuštění kódu a zvýšení oprávnění
Publikováno: 11. srpna 2005 | Aktualizováno: 17. srpna 2005
Zotob je červ, který cílí na počítače se systémem Windows 2000 a využívá bezpečnostní problém, který byl vyřešen bulletinem zabezpečení MS05-039. Tento červ a jeho varianty nainstalují škodlivý software a pak vyhledejte další počítače, které se mají infikovat.
Pokud jste nainstalovali aktualizaci vydanou v bulletinu zabezpečení MS05-039, jsou již chráněni před Zotobem a jeho variantami. Pokud používáte jinou podporovanou verzi Systému Windows než Windows 2000, nejste ohroženi Zotobem a jeho variantami. V rámci procesu reakce na incidenty zabezpečení softwaru jsme zjistili, že došlo k ovlivnění pouze malého počtu zákazníků a odborníci na zabezpečení Microsoftu s nimi pracují přímo. Neviděli jsme žádné označení rozsáhlého dopadu na internet. Zákazníci, kteří se domnívají, že byli napadeni, by se měli obrátit na místní úřad FBI nebo po stížnosti na internetovém webu Centrum pro stížnosti na podvody. Zákazníci mimo USA by měli kontaktovat vnitrostátní agenturu pro prosazování práva ve své zemi.
Další informace o těchto červech, pomoci určit, zda jste byli napadeni těmito červy, a pokyny k opravě systému, pokud jste byli napadeni těmito červy, naleznete na webu Zotob Security Incident nebo Microsoft Virus Encyclopedia. Odkazy na encyklopedii virů společnosti Microsoft naleznete v části Přehled. Nástroj pro odstranění škodlivého softwaru systému Microsoft Windows můžete také použít k vyhledání a odebrání červa Zotob a jeho variant z pevného disku.
Jiné verze Systému Windows, včetně aktualizací Windows XP Service Pack 2 a Windows Server 2003, nemají vliv na Worm:Win32/Zotob.A, jeho varianty a podobné červy, které se pokoušejí zneužít ohrožení zabezpečení systému Windows technologie Plug and Play, pokud již nebyly ohroženy jiným škodlivým softwarem. Zákazníci mohou chránit před útoky, které se pokoušejí tuto chybu zabezpečení využít, instalací aktualizací zabezpečení poskytovaných bulletinem zabezpečení společnosti Microsoft MS05-039 okamžitě. Bulletin zabezpečení MS05-039 je k dispozici na následujícím webu.
Microsoft je zklamaný tím, že někteří pracovníci zabývající se zabezpečením porušili běžně uznávaný oborový postup při odepření dat o ohrožení zabezpečení, takže se blíží aktualizaci vydané verze a publikovali kód zneužití, který by mohl poškodit uživatele počítače. Dále vyzýváme bezpečnostní pracovníky, aby informace o ohrožení zabezpečení zpřístupnili zodpovědně a umožnili zákazníkům čas nasadit aktualizace, aby při pokusu o využívání ohrožení zabezpečení softwaru nepomohly zločincům.
Zmírňující faktory:
- Systémy Windows 2000 jsou primárně ohroženy touto chybou zabezpečení. Na tuto chybu zabezpečení nemají vliv zákazníci systému Windows 2000, kteří nainstalovali aktualizaci zabezpečení MS05-039 . Pokud správce zakázal anonymní připojení změnou výchozího nastavení klíče registru RestrictAnonymous na hodnotu 2, nebudou systémy Windows 2000 ohroženy vzdáleně od anonymních uživatelů. Vzhledem k velkému riziku kompatibility aplikací však nedoporučujeme zákazníkům povolit toto nastavení v produkčních prostředích, aniž by museli nastavení ve svém prostředí důkladně testovat. Další informace naleznete na webu Nápovědy a podpory společnosti Microsoft na webu OmezitAnonymous.
- I když to není aktuální cíl těchto útoků, je důležité si uvědomit, že v systému Windows XP Service Pack 2 a Windows Server 2003 musí mít útočník platné přihlašovací údaje a aby mohl tuto chybu zabezpečení zneužít místně. Ohrožení zabezpečení nelze vzdáleně zneužít anonymními uživateli nebo uživateli, kteří mají standardní uživatelské účty v aktualizaci Windows XP Service Pack 2 nebo Windows Server 2003. Důvodem je lepší zabezpečení integrované přímo do ovlivněné komponenty. I když správce povolil anonymní připojení změnou výchozího nastavení klíče registru RestrictAnonymous , windows XP Service Pack 2 a Windows Server 2003 nejsou vzdáleně ohroženy anonymními uživateli nebo uživateli, kteří mají standardní uživatelské účty. Ovlivněná komponenta je však dostupná vzdáleně uživatelům, kteří mají oprávnění správce.
- I když není aktuálním cílem těchto útoků, je důležité si uvědomit, že v systému Windows XP Service Pack 1 musí mít útočník platné přihlašovací údaje, aby se pokusil tuto chybu zabezpečení zneužít. Ohrožení zabezpečení nebylo možné vzdáleně zneužít anonymními uživateli. Ovlivněná komponenta je však k dispozici vzdáleně uživatelům, kteří mají standardní uživatelské účty v systému Windows XP Service Pack 1. Stávající útoky nejsou navržené tak, aby poskytovaly ověřování potřebné ke zneužití tohoto problému v těchto operačních systémech. I když správce povolil anonymní připojení změnou výchozího nastavení klíče registru RestrictAnonymous , nejsou systémy Windows XP Service Pack 1 vzdáleně ohroženy anonymními uživateli.
- Tento problém nemá vliv na systém Windows 98, Windows 98 SE nebo Windows Millennium Edition.
Obecné informace
Přehled
Účel poradenství: Oznámení aktivních útoků zákazníků a dostupnost aktualizace zabezpečení, která pomáhá chránit před touto potenciální hrozbou.
Stav poradce: Poradce publikováno. Vzhledem k tomu, že tento problém je již vyřešen jako součást bulletinu zabezpečení MS05-039 , nevyžaduje se žádná další aktualizace.
Doporučení: Zákazníci by měli použít nástroj pro odebrání škodlivého softwaru systému Microsoft Windows ke kontrole a odebrání infekce Zotob a instalaci aktualizace zabezpečení MS05-039 , která pomáhá chránit před touto chybou zabezpečení.
| Reference | Identifikace |
|---|---|
| Odkazy na ohrožení zabezpečení | |
| CVE – referenční dokumentace | CAN-2005-1983 |
| Bulletin zabezpečení | MS05-039 |
| Podrobnosti o zneužití a červu | |
| Incident zabezpečení Zotob | Webu |
| Nástroj pro odebrání škodlivého softwaru | Webu |
| Microsoft Virus Encyclopedia | Worm:Win32/Zotob.A, Worm:Win32/Zotob.B, Worm:Win32/Zotob.C, Worm:Win32/Zotob.D, Worm:Win32/Zotob.EWorm:Win32/Esbot.A, Worm:Win32/Rbot.MA, Worm:Win32/Rbot.MB, Worm:Win32/Rbot.MC, Bobax.O |
| Symantec | W32. Zotob.A, W32. Zotob.B, W32. Zotob.D, W32. Zotob.E,W32. Zotob.G |
| Zabezpečení F | Zotob.A, Zotob.B, Zotob.C, Bozori.A, Bozori.B, Bozori.C |
| Mcafee | W32/Zotob.worm,W32/Zotob.worm.b, W32/Zotob.worm.c, W32/Bozori.worm.b, W32/IRCbot.worm! MS05-039, W32/Sdbot.worm! MS05-039,W32/Sdbot.worm!51326 |
Poznámka: Toto doporučení nebude aktualizováno pro budoucí varianty, pokud se výrazně liší od stávajících verzí.
Tento poradce popisuje následující software.
| Související software |
| Microsoft Windows 2000 Service Pack 4 |
| Microsoft Windows XP Service Pack 1 |
| Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) |
| Microsoft Windows XP Service Pack 2 |
| Microsoft Windows XP 64-Bit Edition verze 2003 (Itanium) |
| Microsoft Windows XP Professional x64 Edition |
| Microsoft Windows Server 2003 |
| Microsoft Windows Server 2003 pro počítače s procesorem Itanium |
| Microsoft Windows Server 2003 Service Pack 1 |
| Microsoft Windows Server 2003 s aktualizací SP1 pro počítače s procesorem Itanium |
| Microsoft Windows Server 2003 x64 Edition |
| Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) a Microsoft Windows Millennium Edition (ME) |
Nejčastější dotazy
Jaký je rozsah poradenství?
Zotob je červ, který cílí na počítače se systémem Windows 2000 a využívá bezpečnostní problém, který byl vyřešen bulletinem zabezpečení MS05-039. Tento červ a jeho varianty nainstalují škodlivý software a pak vyhledejte další počítače, které se mají infikovat. Pokud jste nainstalovali aktualizaci vydanou v bulletinu zabezpečení MS05-039, jsou již chráněni před Zotobem a jeho variantami. Pokud používáte jinou podporovanou verzi Systému Windows než Windows 2000, nejste ohroženi Zotobem a jeho variantami.
Jedná se o ohrožení zabezpečení, které vyžaduje, aby Microsoft vydal další aktualizaci zabezpečení?
Ne. Tuto chybu zabezpečení neovlivní zákazníci, kteří nainstalovali aktualizace zabezpečení MS05-039 .
Co způsobuje tuto hrozbu?
Nezaškrtnutá vyrovnávací paměť ve službě technologie Plug and Play. Další podrobnosti o ohrožení zabezpečení naleznete v bulletinu zabezpečení MS05-039 .
Co by mohl útočník použít k této funkci?
Útočník, který tuto chybu zabezpečení úspěšně zneužil, může převzít úplnou kontrolu nad ovlivněným systémem. Útočník pak může nainstalovat programy, zobrazit, změnit nebo odstranit data nebo vytvořit nové účty s úplnými uživatelskými právy.
Navrhované akce
Zkontrolujte a odstraňte zotobové infekce.
Nástroj pro odstranění škodlivého softwaru systému Microsoft Windows můžete použít k vyhledání a odebrání červa Zotob a jeho variant z pevného disku.
Zákazníci by měli nainstalovataktualizace zabezpečení MS05-039, které pomáhají chránit před tímto ohrožením zabezpečení.
Systémy Windows 2000 jsou primárně ohroženy touto chybou zabezpečení. Zákazníci, kteří nainstalovali aktualizaci zabezpečení MS05-039 , nejsou touto chybou zabezpečení ovlivněni.
Zákazníci, kteří se domnívají, že byli napadeni, by se měli obrátit na místní úřad FBI nebo po stížnosti na internetovém webu Centrum pro stížnosti na podvody. Zákazníci mimo USA by měli kontaktovat národní agenturu pro prosazování práva ve své zemi.
Zákazníci v USA a Kanadě, kteří se domnívají, že mohou být ovlivněni touto možnou chybou zabezpečení, mohou získat technickou podporu ze služeb technické podpory společnosti Microsoft na adrese 1-866-PCSAFETY. Za podporu, která je spojená s problémy s aktualizací zabezpečení nebo viry, se neúčtují žádné poplatky. Mezinárodní zákazníci mohou získat podporu pomocí některé z metod uvedených na webu Nápověda zabezpečení a podpora pro domácí uživatele. Všichni zákazníci by měli použít nejnovější aktualizace zabezpečení vydané Microsoftem, aby zajistili, že jejich systémy jsou chráněny před pokusem o zneužití. Zákazníci, kteří povolili automatické Aktualizace, automaticky obdrží všechny aktualizace Windows. Další informace o aktualizacích zabezpečení naleznete na webu zabezpečení společnosti Microsoft.
Ochrana počítače
Nadále doporučujeme zákazníkům postupovat podle našich pokynů k ochraně vašeho počítače při povolování brány firewall, získávání aktualizací softwaru a instalaci antivirového softwaru. Další informace o těchto krocích můžou zákazníci získat na webu Chránit váš počítač.
Zachovat služba Windows Update d
Všichni uživatelé Systému Windows by měli použít nejnovější aktualizace zabezpečení společnosti Microsoft, aby zajistili, že jsou jejich počítače co nejvíce chráněné. Pokud si nejste jistí, jestli je váš software aktuální, navštivte web služba Windows Update, vyhledejte v počítači dostupné aktualizace a nainstalujte všechny aktualizace s vysokou prioritou, které jsou vám nabízeny. Pokud máte povolenou automatickou Aktualizace, aktualizace se vám po vydání doručí, ale musíte je nainstalovat.
Další informace
Zdroje:
- Svůj názor můžete poskytnout vyplněním formuláře na následujícím webu.
- Zákazníci v USA a Kanadě můžou získat technickou podporu ze služeb technické podpory společnosti Microsoft. Další informace o dostupných možnostech podpory naleznete na webu Nápověda a podpora společnosti Microsoft.
- Mezinárodní zákazníci můžou získat podporu od místních poboček Microsoftu. Další informace o tom, jak kontaktovat Společnost Microsoft o problémech s mezinárodní podporou, naleznete na webu mezinárodní podpory.
- Web Microsoft TechNet Security poskytuje další informace o zabezpečení v produktech Společnosti Microsoft.
Právní omezení:
Informace uvedené v tomto poradenství jsou poskytovány "tak, jak jsou" bez záruky jakéhokoli druhu. Společnost Microsoft odmítá všechny záruky, ať už výslovné nebo předpokládané, včetně záruk prodejnosti a vhodnosti pro určitý účel. V žádném případě společnost Microsoft Corporation nebo její dodavatelé nenese odpovědnost za jakékoli škody, včetně přímých, nepřímých, náhodných, následných, ztrát obchodních zisků nebo zvláštních škod, a to i v případě, že společnost Microsoft Corporation nebo její dodavatelé byli upozorněni na možnost těchto škod. Některé státy neumožňují vyloučení nebo omezení odpovědnosti za následné nebo náhodné škody, takže výše uvedené omezení nemusí platit.
Revize:
- 11. srpna 2005: Poradce publikováno
- 14. srpna 2005: Poradce byl aktualizován, aby zákazníkům doporučil, že Microsoft aktivně analyzuje a poskytuje pokyny k škodlivému červu identifikovanému jako "Worm:Win32/Zotob.A".
- 15. srpna 2005: Poradce byl aktualizován, aby dokumentoval další varianty Worm:Win32/Zotob.A. Aktualizovali jsme také rady, abychom zdokumentovali informace o dopadu klíče registru RestrictAnonymous.
- 16. srpna 2005: Poradce byl aktualizován, aby zdokumentoval další informace o variantách Worm:Win32/Zotob.A a další informace o probíhajícím šetření.
- 17. srpna 2005: Poradce byl aktualizován, aby dokumentoval další informace o variantách Worm:Win32/Zotob.A. Oznamujeme také dostupnost revidované verze nástroje pro odebrání škodlivého softwaru systému Microsoft Windows, který pomáhá tyto útoky řešit.
Postaveno v 2014-04-18T13:49:36Z-07:00