Microsofts sikkerhetsveiledning 922437
Publisert skadelig kode som berører servertjenesten
Publisert: 11. august 2006 | Oppdatert: 13. august 2006
Microsoft er oppmerksom på offentliggjorte rapporter om et angrep kalt Win32/Graweg, som utnytter sikkerhetsproblemet som beskrives i sikkerhetsoppdatering MS06-040. Microsofts foreløpige undersøkelser av Win32/Graweg har påvist at det bare berører brukere som kjører Windows 2000, og som ikke har installert oppdateringen som er beskrevet i MS06-040. Microsoft har iverksatt krisetiltak og fortsetter med å undersøke dette problemet.
Partnerne i Microsoft Security Response Alliance samt våre interne medarbeidere har fastslått at kundene ikke berøres i særlig grad, og har gitt Win32/Graweb lav alvorlighetsgrad. For øyeblikket virker det ikke som dette er en selvreplikerende Internett-orm.
Microsoft anbefaler at kunder tar i bruk augustoppdateringene så snart som mulig og prioriterer oppdateringen som er beskrevet i MS06-040. Kunder kan sikre at oppdateringene installeres, ved å aktivere funksjonen Automatiske oppdateringer i Windows eller ved å bruke distribusjonsinfrastrukturen i firmaet eller bedriften.
Kunder som tror at datamaskinene deres er infisert, eller som ikke er sikre på om de har fått Win32/Graweb, bør gå til Safety.live.com og velge Protection Scan. I tillegg tilbyr Windows Live OneCare fra Microsoft oppdaging av Win32/Graweb og de kjente variantene av den.
Kunder som tror de er angrepet, må kontakte sitt lokale FBI-kontor eller rapportere forholdet til www.ic3.gov. Kunder utenfor USA må kontakte lokale politimyndigheter i sitt eget land.
Kunder som tror de er berørt, kan kontakte Product Support Services. Du kan kontakte Product Support Services i Nord-Amerika gratis for å få hjelp til problemer med sikkerhetsoppdateringen eller virus ved hjelp av PC Safety-linjen (1866-PCSAFETY). Internasjonale kunder kan bruke en av metodene på dette området: http://support.microsoft.com/security.
Begrensende faktorer:
- Kunder som har installert sikkerhetsoppdateringen MS06-040, berøres ikke av dette sikkerhetsproblemet.
- Selv om installasjon av oppdateringen er den anbefalte handlingen, har kunder som har brukt de begrensende faktorene som er identifisert i MS06-040, minimert risikoen for et angrep og muligheten til å utnytte sikkerhetsproblemet.
Generell informasjon
Oversikt
Målet med veiledningen: Å informere om at det finnes en sikkerhetsoppdatering som bidrar til beskyttelse mot denne potensielle risikoen.
Status for veiledningen: Siden dette sikkerhetsproblemet allerede er behandlet som en del av sikkerhetsbulletin MS06-040, er ingen ekstra oppdatering nødvendig.
Anbefaling: Installer sikkerhetsoppdateringen MS06-040 for å beskytte deg mot dette sikkerhetsproblemet.
| Referanser | Identifisering |
|---|---|
| CVE-referanse | CVE-2006-3439 |
| Sikkerhetsbulletin | MS06-040 |
Denne veiledningen gjelder følgende programvare.
| Berørt programvare |
| Microsoft Windows 2000 Service Pack 4 |
| Microsoft Windows XP Service Pack 1 |
Vanlige spørsmål
Hva behandles i veiledningen?
Microsoft er oppmerksom på offentliggjøringer av skadelig kode som er rettet mot sikkerhetsproblemet som er identifisert i Microsofts sikkerhetsoppdatering MS06-040. Dette berører programvaren som er oppført i delen Oversikt.
Er dette et sikkerhetsproblem som krever at Microsoft gir ut en sikkerhetsoppdatering?
Nei. Kunder som har installert sikkerhetsoppdateringen MS06-040, berøres ikke av dette sikkerhetsproblemet. Ingen ekstra oppdateringer er nødvendig.
Hva forårsaker sikkerhetsproblemet?
En ukontrollert buffer i servertjenesten.
Hvordan kan en angriper utnytte sikkerhetsproblemet?
En angriper kan utnytte sikkerhetsproblemet ved å opprette en spesiallaget melding og deretter sende meldingen til et berørt system. Meldingen kan deretter føre til at det berørte systemet kjører kode.
Hva er servertjenesten?
Servertjenesten gir støtte for RPC og filutskrift og deling over nettverket ved hjelp av navngitte datakanaler. Med servertjenesten kan du dele lokale ressurser (for eksempel disker og skrivere) slik at andre brukere i nettverket får tilgang til dem. Den kan også brukes til kommunikasjon ved hjelp av navngitte datakanaler mellom programmer som kjører på andre datamaskiner, og din datamaskin, noe som brukes for RPC.
Hvordan kan en angriper utnytte denne funksjonen?
En angriper som klarer å utnytte dette sikkerhetsproblemet, kan få full kontroll over det berørte systemet.
Finnes det kjente problemer med installasjon av Microsofts sikkerhetsoppdatering MS06-040 som beskytter mot denne trusselen?
Nei. Microsoft oppfordrer kunder til å installere oppdateringen umiddelbart.
Forslag til tiltak
Hvis du har installert oppdateringen som ble sluppet med sikkerhetsbulletin MS06-040, er du allerede beskyttet mot angrepet som er identifisert i den offentliggjorte konseptbeviskoden. Hvis du ikke har installert oppdateringen, oppfordres du til å bruke de begrensende faktorene som identifiseres i MS06-040.
Hold Windows oppdatert
Alle Windows-brukere bør bruke de nyeste Microsoft-sikkerhetsoppdateringene for å bidra til at datamaskinene har høyest mulig beskyttelse. Hvis du ikke er sikker på om programvaren er oppdatert, kan du gå til webområdet Microsoft Update, søke etter tilgjengelige oppdateringer for datamaskinen og installere alle høyt prioriterte oppdateringer som du får tilbud om. Hvis du har aktivert Automatiske oppdateringer, leveres oppdateringene til deg når de utgis, men du må påse at du installerer dem.
Blokker TCP-portene 139 og 445 i brannmuren
Denne porten brukes til å opprette en tilkobling til den berørte protokollen. Hvis du blokkerer dem både inngående og utgående i brannmuren, hindrer du at systemer bak denne brannmuren forsøker å utnytte dette sikkerhetsproblemet. Vi anbefaler å blokkere all uoppfordret inngående kommunikasjon fra Internett for å hindre angrep som kan bruke andre porter. Hvis du vil ha mer informasjon om porter, kan du besøke webområdet nedenfor.
Aktiver avansert TCP/IP-filtrering på systemer
Du kan aktivere avansert TCP/IP-filtrering for å blokkere all uoppfordret inngående trafikk. Du finner mer informasjon om hvordan du konfigurerer TCP/IP-filtrering, i Microsoft Knowledge Base-artikkel 309798.
Blokker de berørte portene ved hjelp av IPsec på de berørte systemene
Bruk IPsec (Internet Protocol security) for å beskytte nettverkskommunikasjon. Du finner detaljert informasjon om IPsec og hvordan du bruker filtre, i Microsoft Knowledge Base-artikkel 313190 og Microsoft Knowledge Base-artikkel 813878.
Beskytt din PC
Vi fortsetter å oppmuntre kunder til å følge våre råd om beskyttelse av PCen og aktivere en brannmur, laste ned programvareoppdateringer og installere antivirusprogramvare. Kunder kan lese mer om dette på webområdet Beskytt din PC.
Kunder kan finne mer informasjon om sikkerhet på Internett påhjemmesiden for Microsoft-sikkerhet.
Kunder som tror de er angrepet, bør kontakte sitt lokale FBI-kontor eller legge inn en klage på webområdet for Internet Fraud Complaint Center. Kunder utenfor USA må kontakte lokale politimyndigheter i sitt eget land.
Alle kunder bør bruke de nyeste sikkerhetsoppdateringene fra Microsoft for å bidra til å sikre at systemene er beskyttet mot forsøk på utnyttelse. Kunder som har aktivert Automatiske oppdateringer, mottar automatisk alle Windows-oppdateringer. Du finner mer informasjon om sikkerhetsoppdateringer på webområdet Microsoft Security.
Annen informasjon
Ressurser:
- Du kan gi oss tilbakemelding ved å fylle ut skjemaet på følgende webområde.
- Kunder i USA og Canada kan få kundestøtte hos Microsoft Product Support Services. Du finner mer informasjon om tilgjengelige alternativer for støtte, ved å gå til webområdet Microsoft Hjelp og støtte.
- Internasjonale kunder kan få kundestøtte fra de lokale representasjonskontorene for Microsoft. Hvis du vil ha mer informasjon om hvordan du kontakter Microsoft angående internasjonale kundestøtteproblemer, går du til webområdet for internasjonal støtte.
- Webområdet Microsoft TechNet Security gir ytterligere informasjon om sikkerhet for Microsoft-produkter.
Ansvarsfraskrivelse:
Informasjonen i denne veiledningen tilbys som den er, uten noen form for garanti. Microsoft fraskriver seg ethvert ansvar, enten direkte eller indirekte, herunder garantier om salgbarhet og anvendelighet for særskilte formål. Microsoft Corporation eller dets leverandører skal ikke under noen omstendigheter holdes ansvarlig for noen skader eller tap herunder direkte, indirekte eller tilfeldige skader eller tap, konsekvenstap, tap av inntekter eller spesielle skader, også i tilfeller der Microsoft Corporation eller dets leverandører er underrettet om muligheten for slike skader eller tap. Ettersom enkelte land ikke tillater fraskrivelse eller begrensning av ansvar for følgeskade eller tilfeldig skade, kan det hende at ovennevnte begrensning ikke gjelder.
Revisjoner:
- 11. august 2006: Veiledning publisert.
- 13. august 2006: Veiledning oppdatert for å gi detaljert informasjon om aktiviteter i forbindelse med Win32/Graweg.
Built at 2014-04-18T01:50:00Z-07:00