Sicherheitsempfehlung
Microsoft Security Advisory 922437
Exploit-Code veröffentlicht, der auswirkungen auf den Serverdienst hat
Veröffentlicht: 11. August 2006 | Aktualisiert: 13. August 2006
Microsoft ist sich der öffentlichen Berichte über einen Angriff bewusst, der als Win32/Graweg bezeichnet wird, um die von Sicherheitsupdate MS06-040 behobene Sicherheitsanfälligkeit auszunutzen. Die erste Untersuchung von Win32/Graweg von Microsoft hat überprüft, dass sie nur Benutzer mit Windows 2000 betrifft, die das in MS06-040 beschriebene Update nicht angewendet haben. Microsoft hat seinen Notfallreaktionsprozess aktiviert und wird dieses Problem weiterhin untersuchen.
Die Microsoft Security Response Alliance-Partner sowie unsere eigenen internen Teams haben festgestellt, dass es keine weit verbreitete Kundenwirkung gibt und Win32/Graweg als niedrige Bedrohung bewertet hat. Zu diesem Zeitpunkt scheint es kein selbst replizierenden internetweiten Wurm zu sein.
Microsoft empfiehlt weiterhin, dass Kunden die August-Updates so bald wie möglich mit zusätzlicher Dringlichkeit anwenden und dem in MS06-040 beschriebenen Update Rechnung tragen. Kunden können sicherstellen, dass die Updates installiert werden, indem sie das Feature "Automatische Updates" in Windows aktivieren oder ihre Bereitstellungsinfrastruktur in ihrem Unternehmen oder kleinunternehmen verwenden.
Kunden, die glauben, dass sie infiziert sind oder nicht sicher sind, ob sie von Win32/Graweg infiziert sind, sollten Tresor ty.live.com besuchen und "Schutzscan" wählen. Darüber hinaus bietet Windows Live OneCare von Microsoft Erkennung gegen Win32/Graweg und seine bekannten Varianten.
Kunden, die glauben, dass sie angegriffen wurden, sollten sich an ihr lokales BUREAU wenden oder ihre Situation an www.ic3.gov melden. Kunden außerhalb der USA sollten sich an die nationale Strafverfolgungsbehörde in ihrem Land wenden, die glauben, dass sie betroffen sind, sich an produktspezifische Supportdienste wenden können. Wenden Sie sich an die Produktsupportdienste in Nordamerika, um Hilfe bei Sicherheitsupdateproblemen oder Viren kostenlos über die ZEILE PC Tresor ty (1866-PCSAFETY) und internationale Kunden zu erhalten, indem Sie eine beliebige Methode verwenden, die an diesem Speicherort zu finden ist: https:.
Mildernde Faktoren:
- Kunden, die das Sicherheitsupdate MS06-040 installiert haben, sind von dieser Sicherheitsanfälligkeit nicht betroffen.
- Während die Installation des Updates die empfohlene Aktion ist, haben Kunden, die die in MS06-040 identifizierten Entschärfungen angewendet haben, ihre Exposition und potenzielle Ausnutzbarkeit gegen einen Angriff minimiert.
Allgemeine Informationen
Übersicht
Zweck der Empfehlung: Benachrichtigung über die Verfügbarkeit eines Sicherheitsupdates zum Schutz vor dieser potenziellen Bedrohung.
Empfehlungsstatus: Da dieses Problem bereits als Teil des Sicherheitsbulletins MS06-040 behoben wurde, ist kein zusätzliches Update erforderlich.
Empfehlung: Installieren Sie das Sicherheitsupdate MS06-040 , um vor dieser Sicherheitsanfälligkeit zu schützen.
| References | Identifikation |
|---|---|
| CVE-Referenz | CVE-2006-3439 |
| Sicherheitsbulletin | MS06-040 |
In dieser Empfehlung wird die folgende Software erläutert.
| Verwandte Software |
| Microsoft Windows 2000 Service Pack 4 |
| Microsoft Windows XP Service Pack 1 |
Häufig gestellte Fragen
Was ist der Umfang der Beratung?
Microsoft ist sich der öffentlichen Veröffentlichung von Exploit-Code bewusst, die auf die in Microsoft Sicherheitsupdate MS06-040 identifizierte Sicherheitsanfälligkeit abzielt. Dies wirkt sich auf die Software aus, die im Abschnitt "Übersicht" aufgeführt ist.
Ist dies eine Sicherheitslücke, die erfordert, dass Microsoft ein Sicherheitsupdate ausgibt?
Nein Kunden, die das Sicherheitsupdate MS06-040 installiert haben, sind von dieser Sicherheitsanfälligkeit nicht betroffen. Es ist kein zusätzliches Update erforderlich.
Was verursacht die Sicherheitsanfälligkeit?
Ein deaktivierter Puffer im Serverdienst.
Wie kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen?
Ein Angreifer könnte versuchen, die Sicherheitsanfälligkeit auszunutzen, indem eine speziell gestaltete Nachricht erstellt und die Nachricht an ein betroffenes System gesendet wird. Die Nachricht könnte dann dazu führen, dass das betroffene System Code ausführt.
Was ist der Serverdienst?
Der Serverdienst bietet RPC-Unterstützung, Dateidruckunterstützung und benannte Pipefreigabe über das Netzwerk. Der Serverdienst ermöglicht die Freigabe Ihrer lokalen Ressourcen (z. B. Datenträger und Drucker), damit andere Benutzer im Netzwerk darauf zugreifen können. Es ermöglicht auch die benannte Pipe-Kommunikation zwischen Anwendungen, die auf anderen Computern und Ihrem Computer ausgeführt werden, die für RPC verwendet wird.
Was kann ein Angreifer für diese Funktion verwenden?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann die vollständige Kontrolle über das betroffene System übernehmen.
Gibt es bekannte Probleme bei der Installation von Microsoft Security Update MS06-040, die vor dieser Bedrohung schützt?
Nein Microsoft fordert Kunden weiterhin auf, das Update sofort zu installieren.
Vorgeschlagene Aktionen
Wenn Sie das mit dem Sicherheitsbulletin MS06-040 veröffentlichte Update installiert haben, sind Sie bereits vor dem Angriff geschützt, der im öffentlich veröffentlichten Proof of Concept Code identifiziert wurde. Wenn Sie die Updatekunden nicht installiert haben, empfiehlt es sich, die identifizierten MS06-040-Gegenmaßnahmen anzuwenden.
Windows auf dem neuesten Stand halten
Alle Windows-Benutzer sollten die neuesten Microsoft-Sicherheitsupdates anwenden, um sicherzustellen, dass ihre Computer so geschützt wie möglich sind. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie die Microsoft Update-Website, scannen Sie Ihren Computer nach verfügbaren Updates, und installieren Sie alle updates mit hoher Priorität, die Ihnen angeboten werden. Wenn Sie automatische Updates aktiviert haben, werden die Updates an Sie übermittelt, wenn sie veröffentlicht werden, aber Sie müssen sicherstellen, dass Sie sie installieren.
Blockieren von TCP-Ports 139 und 445 an der Firewall
Dieser Port wird verwendet, um eine Verbindung mit dem betroffenen Protokoll zu initiieren. Durch das Blockieren der Firewall, sowohl eingehend als auch ausgehend, können Systeme, die sich hinter dieser Firewall befinden, daran gehindert werden, diese Sicherheitsanfälligkeit auszunutzen. Es wird empfohlen, alle unerwünschten eingehenden Kommunikationen aus dem Internet zu blockieren, um Angriffe zu verhindern, die möglicherweise andere Ports verwenden. Weitere Informationen zu Ports finden Sie auf der folgenden Website.
Aktivieren der erweiterten TCP/IP-Filterung auf Systemen
Sie können die erweiterte TCP/IP-Filterung aktivieren, um den gesamten unerwünschten eingehenden Datenverkehr zu blockieren. Weitere Informationen zum Konfigurieren der TCP/IP-Filterung finden Sie im Microsoft Knowledge Base-Artikel 309798.
Blockieren der betroffenen Ports mithilfe von IPsec auf den betroffenen Systemen
Verwenden Sie die Internetprotokollsicherheit (Internet Protocol Security, IPsec), um die Netzwerkkommunikation zu schützen. Detaillierte Informationen zu IPsec und zum Anwenden von Filtern finden Sie im Microsoft Knowledge Base-Artikel 313190 und im Microsoft Knowledge Base-Artikel 813878.
Schützen Ihres PCs
Wir ermutigen kunden weiterhin, unseren Schutz Your PC-Richtlinien zu befolgen, eine Firewall zu aktivieren, Softwareupdates zu erhalten und Antivirensoftware zu installieren. Kunden können mehr über diese Schritte erfahren, indem Sie die Website "Schützen Ihres PCs" besuchen.
Weitere Informationen zum Sicheren im Internet finden Kunden auf derMicrosoft Security Home Page.
Kunden, die der Meinung sind, dass sie angegriffen wurden, sollten sich an ihr lokales FB-Büro wenden oder ihre Beschwerde auf der Website des Internet Fraud Complaint Centers veröffentlichen. Kunden außerhalb der USA sollten sich an die nationale Strafverfolgungsbehörde in ihrem Land wenden. Alle Kunden sollten die neuesten von Microsoft veröffentlichten Sicherheitsupdates anwenden, um sicherzustellen, dass ihre Systeme vor der versuchten Ausbeutung geschützt sind. Kunden, die automatische Updates aktiviert haben, erhalten automatisch alle Windows-Updates. Weitere Informationen zu Sicherheitsupdates finden Sie auf der Microsoft Security-Website.
Sonstige Informationen
Ressourcen:
- Sie können Feedback geben, indem Sie das Formular ausfüllen, indem Sie die folgende Website besuchen.
- Kunden in den USA und Kanada können technischen Support von Microsoft Product Support Services erhalten. Weitere Informationen zu den verfügbaren Supportoptionen finden Sie auf der Microsoft-Hilfe- und Supportwebsite.
- Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Weitere Informationen zum Kontaktieren von Microsoft für internationale Supportprobleme finden Sie auf der Website für den internationalen Support.
- Die Microsoft TechNet Security-Website enthält zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.
Haftungsausschluss:
Die in dieser Empfehlung bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen:
- 11. August 2006: Empfehlung veröffentlicht.
- 13. August 2006: Empfehlung aktualisiert zu Detailaktivitäten im Zusammenhang mit Win32/Graweg.
Gebaut am 2014-04-18T13:49:36Z-07:00</https:>