Microsofts sikkerhetsveiledning 921923
Publisert konseptbeviskode som berører tjenesten Remote Access Connection Manager
Publisert: 23. juni 2006
Microsoft er oppmerksom på at detaljert skadelig kode er publisert på Internett for sikkerhetsproblemet som omtales i Microsofts sikkerhetsbulletin MS06-025. Microsoft kjenner for øyeblikket ikke til aktive angrep som bruker denne skadelige koden, eller til kunder som er berørt. Microsoft overvåker imidlertid situasjonen aktivt for å holde kundene oppdatert og gi dem veiledning etter behov.
Våre undersøkelser av denne skadelige koden har påvist at den ikke påvirker kunder som har installert oppdateringene som er beskrevet i MS06-025, på datamaskinen. Microsoft fortsetter å anbefale at kunder bruker oppdateringene for de berørte produktene ved å aktivere funksjonen Automatiske oppdateringer i Windows.
Microsoft er skuffet over at enkelte sikkerhetsforskere har brutt den bredt aksepterte praksisen med å holde tilbake informasjon om sikkerhetsproblemer så nært opptil utgivelsen av oppdateringen, og har publisert skadelig kode som kan skade datamaskinbrukerne. Vi fortsetter med å oppfordre sikkerhetsforskere til å publisere informasjon om sikkerhetsproblemer på en ansvarlig måte og gi kundene tid til å ta i bruk oppdateringer, slik at de ikke bistår kriminelle i deres forsøk på å dra nytte av sikkerhetsproblemer i programvare.
Begrensende faktorer:
- Kunder som har installert sikkerhetsoppdateringen MS06-025, berøres ikke av dette sikkerhetsproblemet.
- Det er hovedsakelig Windows 2000-systemer som er i faresonen på grunn av dette sikkerhetsproblemet. Kunder som kjører Windows 2000, bør distribuere MS06-025 så raskt som mulig eller deaktivere RASMAN-tjenesten.
- På Windows XP Service Pack 2, Windows Server 2003 og Windows Server 2003 Service Pack 1 må angriperen ha gyldig påloggingsinformasjon for å kunne utnytte sikkerhetsproblemet.
- Dette sikkerhetsproblemet berører ikke Windows 98, Windows 98 SE eller Windows Millennium Edition.
Generell informasjon
Oversikt
Målet med veiledningen: Å informere om at det finnes en sikkerhetsoppdatering som bidrar til beskyttelse mot denne potensielle risikoen.
Status for veiledningen: Siden dette sikkerhetsproblemet allerede er behandlet som en del av sikkerhetsbulletin MS06-025, er ingen ekstra oppdatering nødvendig.
Anbefaling: Installer sikkerhetsoppdateringen MS06-025 for å beskytte deg mot dette sikkerhetsproblemet.
| Referanser | Identifisering |
|---|---|
| CVE-referanse | CVE-2006-2370 |
| CVE-2006-2371 | |
| Sikkerhetsbulletin | MS06-025 |
Denne veiledningen gjelder følgende programvare.
| Microsoft Windows 2000 Service Pack 4 |
| Microsoft Windows XP Service Pack 1 og Microsoft Windows XP Service Pack 2 |
| Microsoft Windows XP Professional x64 Edition |
| Microsoft Windows Server 2003 og Microsoft Windows Server 2003 Service Pack 1 |
| Microsoft Windows Server 2003 for Itanium-based Systems og Microsoft Windows Server 2003 SP1 for Itanium-based Systems |
| Microsoft Windows Server 2003 x64 Edition |
Vanlige spørsmål
Hva behandles i veiledningen?
Microsoft er oppmerksom på offentliggjøringer av skadelig kode som er rettet mot sikkerhetsproblemene som er identifisert i Microsofts sikkerhetsoppdatering MS06-025. Dette berører programvaren som er oppført i delen Oversikt.
Er dette et sikkerhetsproblem som krever at Microsoft gir ut en sikkerhetsoppdatering?
Nei. Kunder som har installert sikkerhetsoppdateringen MS06-025, berøres ikke av dette sikkerhetsproblemet. Ingen ekstra oppdateringer er nødvendig.
Hva er forårsaker denne risikoen?
En ukontrollert buffer i Routing and Remote Access-teknologien som spesielt berører tjenesten Remote Access Connection Manager (RASMAN).
Hva gjør denne funksjonen?
Remote Access Connection Manager er en tjeneste som behandler detaljene ved opprettingen av tilkoblingen til den eksterne serveren. Denne tjenesten gir også klienten statusinformasjon under tilkoblingen. Remote Access Connection Manager starter automatisk når et program laster inn RASAPI32.DLL
Hvordan kan en angriper utnytte denne funksjonen?
En angriper som klarer å utnytte dette sikkerhetsproblemet, kan få full kontroll over det berørte systemet.
Finnes det kjente problemer med installasjon av Microsofts sikkerhetsoppdatering MS06-025 som beskytter mot denne trusselen?
Microsoft Knowledge Base-artikkel 911280 dokumenterer kjente problemer som kundene kan oppleve ved installasjon av sikkerhetsoppdateringen. Bare kunder som bruker eksterne tilkoblinger der det brukes skript til å konfigurere enheten for paritet, stoppbiter eller databiter, eller et terminalvindu for ettertilkobling eller ekstern skripting, berøres av problemene som er identifisert i KB-artikkelen. Hvis kundene ikke bruker noen av scenariene for ekstern tilkobling som er identifisert ovenfor, oppfordres de til å installere oppdateringen umiddelbart.
Forslag til tiltak
Hvis du har installert oppdateringen som ble sluppet med sikkerhetsbulletin MS06-025, er du allerede beskyttet mot angrepet som er identifisert i den offentliggjorte konseptbeviskoden. Hvis du ikke har installert oppdateringen eller er berørt av et av scenariene som er identifisert i Microsoft Knowledge Base-artikkel 911280, anbefales det at du deaktiverer tjenesten Remote Access Connection Manager.
Deaktivere tjenesten Remote Access Connection Manager
Deaktivering av tjenesten Remote Access Connection Manager bidrar til å beskytte det berørte systemet mot forsøk på å utnytte dette sikkerhetsproblemet. Slik deaktiverer du tjenesten Remote Access Connection Manager (RASMAN):
- Klikk Start, og klikk deretter Kontrollpanel .Alternativt kan du klikke Start, peke på Innstillinger og deretter klikke Kontrollpanel.
- Dobbeltklikk Administrative verktøy.
- Dobbeltklikk Tjenester.
- Dobbeltklikk Remote Access Connection Manager.
- I listen Oppstartstype klikker du på Deaktivert.
- Klikk Stopp og deretter OK.
Du kan også stoppe og deaktivere tjenesten Remote Access Connection Manager (RASMAN) ved å bruke følgende kommando i ledeteksten:
sc stop rasman & sc config rasman start= disabledHva løsningen kan føre til: Hvis du deaktiverer tjenesten Remote Access Connection Manager, kan du ikke tilby rutingstjenester til andre verter i lokale nettverksmiljøer og regionnettmiljøer. Vi anbefaler derfor denne midlertidige løsningen bare på systemer som ikke krever bruk av RASMAN-tjenesten for ekstern pålogging og ruting.
Blokker følgende i brannmuren:
- UDP-port 135, 137, 138 og 445 og TCP-port 135, 139, 445 og 593
- All uoppfordret inngående trafikk på porter som er høyere enn 1024
- Alle andre spesialkonfigurerte RPC-porter
Disse portene brukes til å opprette en tilkobling til RPC. Hvis du blokkerer dem i brannmuren, bidrar du til å beskytte systemer bak denne brannmuren mot forsøk på å utnytte dette sikkerhetsproblemet. Du må også blokkere alle andre spesialkonfigurerte RPC-porter på det eksterne systemet. Vi anbefaler å blokkere all uoppfordret inngående kommunikasjon fra Internett for å hindre angrep som kan bruke andre porter. Du finner mer informasjon om portene som RPC bruker, på følgende webområde.
For å beskytte deg mot nettverksbaserte angrep som utnytter dette sikkerhetsproblemet, kan du bruke en personlig brannmur, for eksempel Brannmur for Internett-tilkobling , som er inkludert i Windows XP og Windows Server 2003.
Som standard blokkerer brannmuren for Internett-tilkobling i Windows XP og i Windows Server 2003 innkommende uoppfordret trafikk. Dette bidrar til å beskytte Internett-tilkoblingen. Vi anbefaler at du blokkerer all innkommende uoppfordret kommunikasjon fra Internett. I Windows XP Service Pack 2 kalles denne funksjonen Windows-brannmur.
Du aktiverer funksjonen Brannmur for Internett-tilkobling ved hjelp av veiviseren for nettverksinstallasjon ved å følge disse trinnene:
- Klikk Start, og klikk deretter Kontrollpanel.
- Klikk Nettverks- og Internett-tilkoblinger i standard kategorivisning, og klikk deretter Sett opp eller endre innstillingene for hjemmenettverk eller lite kontornettverk. Funksjonen Brannmur for Internett-tilkobling aktiveres når du velger en konfigurasjon i veiviseren for nettverksinstallasjon, som angir at systemet er koblet direkte til Internett.
Du konfigurerer Brannmur for Internett-tilkobling manuelt for en tilkobling ved å følge disse trinnene:
- Klikk Start, og klikk deretter Kontrollpanel.
- Klikk Nettverks- og Internett-tilkoblinger i standard kategorivisning, og klikk deretter Nettverkstilkoblinger.
- Høyreklikk tilkoblingen du vil aktivere Brannmur for Internett-tilkobling for, og klikk deretter Egenskaper.
- Klikk kategorien Avansert.
- Klikk for å merke av for Beskytt datamaskinen og nettverket ved å begrense eller hindre tilgang til denne maskinen fra Internett, og klikk deretter OK.
Obs! Hvis du vil gjøre det mulig for visse programmer og tjenester å kommunisere gjennom brannmuren, klikker du Innstillinger under kategorien Avansert. Deretter velger du programmene, protokollene og tjenestene du trenger.
Kunder som tror de er angrepet, bør kontakte sitt lokale FBI-kontor eller legge inn en klage på webområdet for Internet Fraud Complaint Center. Kunder utenfor USA må kontakte lokale politimyndigheter i sitt land.
Kunder i USA og Canada som tror de kan ha blitt utsatt for dette problemet, kan få teknisk støtte fra Microsoft Product Support Services på telefon 1-866-PCSAFETY. Kundestøtte i forbindelse med sikkerhetsoppdateringer eller virus er gratis. Internasjonale kunder kan få kundestøtte ved hjelp av fremgangsmåtene som er oppført på webområdet for sikkerhetshjelp og -støtte for hjemmebrukere.
Alle kunder bør bruke de nyeste sikkerhetsoppdateringene fra Microsoft for å bidra til å sikre at systemene er beskyttet fra forsøk på utnyttelse. Kunder som har aktivert Automatiske oppdateringer, mottar automatisk alle Windows-oppdateringer. Du finner mer informasjon om sikkerhetsoppdateringer på webområdet Microsoft Security.
Kunder kan finne mer informasjon om sikkerhet på Internett påhjemmesiden for Microsoft-sikkerhet.
Hold Windows oppdatert
Alle Windows-brukere bør bruke de nyeste Microsoft-sikkerhetsoppdateringene for å bidra til at datamaskinene har høyest mulig beskyttelse. Hvis du ikke er sikker på om programvaren er oppdatert, går du til webområdet Windows Update, søker etter tilgjengelige oppdateringer for datamaskinen og installerer alle høyt prioriterte oppdateringer som du får tilbud om. Hvis du har aktivert Automatiske oppdateringer, leveres oppdateringene til deg når de utgis, men du må påse at du installerer dem.
Annen informasjon
Ressurser:
- Du kan gi oss tilbakemelding ved å fylle ut skjemaet på følgende webområde.
- Kunder i USA og Canada kan få kundestøtte hos Microsoft Product Support Services. Du finner mer informasjon om tilgjengelige alternativer for støtte, ved å gå til webområdet Microsoft Hjelp og støtte.
- Internasjonale kunder kan få kundestøtte fra de lokale representasjonskontorene for Microsoft. Hvis du vil ha mer informasjon om hvordan du kontakter Microsoft angående internasjonale kundestøtteproblemer, går du til webområdet for internasjonal støtte.
- Webområdet Microsoft TechNet Security gir ytterligere informasjon om sikkerhet for Microsoft-produkter.
Ansvarsfraskrivelse:
Informasjonen i denne veiledningen tilbys som den er, uten noen form for garanti. Microsoft fraskriver seg ethvert ansvar, enten direkte eller indirekte, herunder garantier om salgbarhet og anvendelighet for særskilte formål. Microsoft Corporation eller dets leverandører skal ikke under noen omstendigheter holdes ansvarlig for noen skader eller tap herunder direkte, indirekte eller tilfeldige skader eller tap, konsekvenstap, tap av inntekter eller spesielle skader, også i tilfeller der Microsoft Corporation eller dets leverandører er underrettet om muligheten for slike skader eller tap. Ettersom enkelte land ikke tillater fraskrivelse eller begrensning av ansvar for følgeskade eller tilfeldig skade, kan det hende at ovennevnte begrensning ikke gjelder.
Revisjoner:
- Veiledning publisert 23. juni 2006
Built at 2014-04-18T01:50:00Z-07:00