Уязвимость Rpc Dcom N2
 

После тщательной проверки, сразу из нескольких источников стало известно, что “универсальный ”эксплоит против DCOM№2 уязвимости, опубликованный в среду на нашем форуме, работает даже при установленной заплате MS03-39.

Пока удалось настроить эксплоит только для DoS нападения, но скорее всего эксплоит можно оптимизировать и для выполнения произвольного кода. Всем пользователям срочно рекомендуется закрыть уязвимые порты для доступа из интернет, так как в ближайшее время возможно появление нового разрушительного червя, эксплуатирующего неустраненную уязвимость.

В настоящий момент уязвимость проверена на следующих системах:

* Microsoft Windows XP Professional
* Microsoft Windows XP Home
* Microsoft Windows 2000 Workstation

www.securitylab.ru

Kak ih zakrit' vrycnuy v xp ?

BRULIK
Поставить "стену" & установить все заплатки.
Но на данный момент зашитится проблематично,так как експлоит уже пошел по рукам а зашиты нет,как ты понял из моего предыдушего поста.

как моwно порты вручную закрыть и моwno ли просто proxy поставит и все?

вчера OutPost поставил....и так т не догнал, как на нём порты закрывать :rolleyes:.....кто нить объясните пожалуйста

IDF
http://www.3dnews.ru/communication/firewall2000xp/
Там про штатные средства 2000 и XP

Добавлено через 12 минут:
Jeff
http://www.kpnemo.ru/index.php?pageID=234
Там с картинками

ShooTer

Откуда такая инфа? Я про червя имею ввиду. И порты на входящие закрывать??

ВО НАЧИЛОС я толко вклучил комп сарзу появилос знакомая надпис типа wиндоwс хочет рестарт шяс с фиреwаллом работаю

Караул! Убивают!!!
 

Ага :blin: , меня вчера убили ...
Только зашел - выскакивает аля бластер :confused:
Заплатки были, пофиг ...
Поставил сегодня Kaspersky Anti-Hacker,
перекрыл порты 135 - 139 входящие,
базирующиеся на TCP и UDP.
Чего еще закрыть :ooh: :confused: :ooh:

IDF
Да? А ты действительно уверен, что это ОНО ?
любопытно вот только:
это до заражения или после? если после, то как оно влияет?:confused:
to all :
поясните для уверенности, в Outpost для данного случая создаем правило:
где протокол - TCP?
где направление - входящие?
где удаленный порт-...?
где локальный порт -135,137,139?

"блокировать эти данные"

спасибо за конструктивные ответы.

Gera1999
Если, не оно - так его сестра ;)
Насколько я понял:
TCP: 135, 139, 445, 593, 4444
UDP: 69, 135, 137,138
Лучше заткнуть ...
Кто больше gigi

Pashtet
Инфо уже весит везде.Експлоит проверял сам лично.Так что все раскручивается заново.
Закрывать входяшие,если еше не заражен.

я поставил блок на сам connection с вирусом и все. а шяс уwе даwе фиреwалл ненадо нету активности никакой

Утилита для удаления RPC DCOM из ОС Windows.
На сайте Gibson Research Corporation обнаружена довольно интересная (и в свете последних новостей - довольно актуальная) утилита для удаления RPC DCOM из ОС Windows. Называется утилита довольно забавно - "DCOMbobulator". Помимо удаления этого сервиса утилита также проверяет саму уязвимость. Весит всего 29 килобайт. Также на приведенной ниже странице рассказывается о том, что такое DCOM и насколько она необходима "счастливым" пользователям ОС WinXP, 2K.
http://grc.com/dcom/

Взято от сюда http://uinc.ru/news/index.shtml

спасибо класная прога :yees:

chudotvorec

Ето утилита только для домашних юзеров и то в редких случаях...Не думаю ,что она применимам в широких кругах..

Добавлено в ту же минуту:
IDF
А если адресс сменится ,либо имя файла? ;)

ShooTer
один рестарт не страшен да тем более я уwе порты закрыл
:biggrin:
i voobshe ya dcom ubral tak che mne nado esh`e bespokoitsya ?

Почему в редких случаях?

Чета не понял на kpnemo сказанно что експлоит может покарать через 135,137,139 порты. А вышеозначенная DCOMbobulator божится что выключив DCOM и этим закрыв тока 135-ый можем жить спокойно. Кто прав-то?

to ShooTer


A kak znat' 4to uje zarajen ili net?


to GERASIM

nu ati proboval svoy link

http://www.3dnews.ru/communication/firewall2000xp/

na rabotosposobnost'? Pomogaet?

Добавлено через 21 минуту:
to ShooTer


A kak znat' 4to uje zarajen ili net?


to GERASIM

nu ati proboval svoy link

http://www.3dnews.ru/communication/firewall2000xp/

na rabotosposobnost'? Pomogaet?

В свете недавних событий... Решил так же спрсить у знающего населения форума... Вообчем сам вопрос...
Есть такая утиля SMBdie - утиля позволяет ребутить тачилу удаленно (некое западло) Работает наскока я понял через те же порты что и MSBlast, Поставил заплатку от MSBlasta ткнул первый сервис пак на ХР - всё равно защиты нет! Че делать?

David7
Лично не пробовал, у меня Аутпост стоит, люди пробовали, говорят работает

я закрыл порты через dcom мобулатор и нефига не кусает

Недавно писал, что сестру бластера словил :biggrin:
Симптомы те же были.
Разобрался с этим делом.
В этом был виноват товарищ антивирус NOD32
Зашел на офсайт, и по логину и паролю скачал инсталяшку.
Поставил, зашел обновить базы - вылетел из сети к той маме :(
Удалил его - все нормально.
В папке Program Files\Common Names\запускались winnet.exe, cumviz.exe.
Из за них и была проблема.

Watcher!
Откуда взялись протоколы 66,445, 593, 4444?
Ты рекомендуешь их заткнуть тоже???

Watcher
Что это за папка, откуда она у тебя? У меня такой папки и этих фалов НОД не устанавливал

Обрашаюсь ко всем:

Зашитится от етой дыры пока что нельзя,если не использовать Стену.
Ставьте стену и ждите пока Окошки закроют дыру в виде патча.

П.С. Узнать заражен или нет,можно только по активности вируса.

STOlet
4444 по любому надо закрывать, у меня в сети бласт именно по этому порту распространялся!

Seva, у меня NOD купленный и тоже нет таких файлов вообще на компе:)

Extension- а протокол какой? Я че то не знаю совсем этот порт!

to ShooTer

tak v 4em virajaetsya eta aktivnost'.

Kogda Blast bil, on delal opredelennie deystviya s RPC, drugie sozdavali directory Wins i dublirovali procesi, a etot 4to delaet?

Esli mojno, rasstolkuy dlya vsex.

STOlet

TCP

Extension!
Спасибо, все сделал, будем надеяться что правильно все это

А вот такой вопрос:
если вдруг вылетело окошко с таймером, а я в это время набрал "shutdown -a", то это значит что я уже поражен? Или нет?

Поиском я ничего не обнаружил... дрвеб тоже молчит...
Что это может быть?
Да, сейчас никакой вирусной активности не наблюдается...

Просто получилось все очень глупо :p ... на рабочей станции решил погонять ADSL соедниения... (т.е. отключил ее от домена, и от сервера в первую очередь, где ессесьно, стена стояла, а заплаток я не ставил...)

у тех кого исп bezeqint то им скорее всего будет легче потомучто они собераются закрывать те самые порты через которые будет активность бласта:cool:

STOlet
DCOM32.com цепляется на 4444 порт. Его еше используют как Socket.

Уязвимость состояния операции в Microsoft Windows в обработке RPC запросов
 

Уязвимость состояния операции обнаружена в некоторых версиях Microsoft Windows. Злонамеренный пользователь может вызвать отказ в обслуживании.

Уязвимость состояния операции обнаружена при обработке входящих RPC запросов. Удаленный пользователь может послать несколько специально обработанных RPC запросов, чтобы заставить 2 потока обработать один и тотже RPC запрос.

В результате удаленный атакубщий модет аварийно завершить работу RPC службы и перезагрузить операционную систему.

Эксплуатация уязвимости для выполнения произвольного кода по словам X-Force затруднительна. Однако, как стало известно SecurityLab, существует рабочий эксплоит, который с вероятностью 5-10% компрометирует уязвимую систему.


Способов устранения обнаруженной уязвимости не существует в настоящее время. Отключите DCOM. Фильтруйте уязвимые порты.

www.securitylab.ru

David7
Думаю ясно обяснено.

ShooTer
а как отключить DCOM?

kmp
Отключить DCOM можно двумя способами:

Через реестр.
HKEY_LOCAL_MACHINE\Software\Microsoft\OLE – измените значение EnableDCOM к N.
Затем перезагрузите операционную систему.
Через утилиту Dcomcnfg.exe.
Если вы используете Windows XP или Windows Server 2003, выполните следующие действия:
кликните Component Services под Console Root
Откройте папку Computers.
Для локального компьютера, кликните правой кнопкой мыши на My Computer и затем кликните Properties.
Для удаленного компьютера, кликните правой кнопкой мыши на папку Computers, затем new, и затем кликните Computer.
Введите имя компьютера.
Правой клавишей мыши на имени компьютера кликните на Properties.
Кликните на закладку Default Properties.
Снимите переключатель (check box) Enable Distributed COM on this Computer.
Кликните Apply, чтобы отключить DCOM.
Перезагрузите операционную систему.
Обратите внимание:
Отключение DCOM на Windows pre-SP3
Отключение DCOM на Windows 2000 системах, на которых не установлен Windows 2000 SP3 или более поздний, может не сработать. На таких системах, вы должны сперва установить

MS01-041/298012.

Предупреждение, если Вы отключаете DCOM, вы можете потерять функциональные возможности операционной системы. После того, как вы отключаете поддержку DCOM, может случится следующее:

Любой COM объект, который может быть активирован дистанционно, перестанет работать.
Локальный COM+ snap-in не сможет подключаться к удаленным серверам.
Функция авторегистрации сертификатов может неправильно функционировать.
Запросы Windows Management Instrumentation (WMI) удаленных серверов могут неправильно функционировать.
Потенциально существуют множество встроенных компонентов и сторонних приложений, которые могут перестать работать, если вы отключите DCOM. Microsoft рекомендует проверить работоспособность всех приложений, используемых в вашей среде, после отключения DCOM. Microsoft также предупреждает, что не во всех средах можно отключить DCOM.

Список приложений, которые требуют DCOM или имеют проблемы при отключенном DCOM:
Microsoft Access Workflow Designer
FrontPage с Visual Source Safe на IIS
BizTalk Server schedule client
Excel использует DCOM, если он включает RTD инструкцию
Win95 требует Client for Microsoft Networks или DCOM, чтобы работать с MS SNA Server
Microsoft Exchange Conferencing Server
Dell entire Open Manage suite
Veritas Backup Exec, Network based backup. Программа использует RPC/DCOM для проверки файлов открытых файлов и т.п.
Citrix NFuse Elite. При отключении DCOM, многие функции Citrix NFuse перестают функционировать.
Sophos (Antivirus) Enterprise Manager. Без DCOM программа отказывается работать.
Перестают работать множество функций в SMS 2.0 при отключенном DCOM.
Windows 95/98 и DCOM
Dcom может быть установлен на Windows 95/98 системах (DCOM95 1.2), однако заплаты для этих систем не были выпущены, так как Windows 95/98 системы больше не поддерживаются Microsoft.

Windows ME
Хотя Dcom и включен в операционную Windows ME, эта система по словам Microsoft не содержит уязвимый код.

Патч MS03-039 содержит в себе патч MS03-026, который ошибочно могут требовать установить некоторые утилиты проверки установки MS03-026. Если вы используете подобный инструмент, то обратитесь к его производителю, чтобы он внес соответствующие изменения в работу программы.
Уязвимость может эксплуатироваться через 80, 443 или 593 порт. К сожалению, нет подробной информации о способах эксплуатации обнаруженных уязвимостей через эти порты.
593 порт используется службой RPC over HTTP End Point Mapper. Эта служба очень похожа на службу RPC End Point Mapper на 135 TCP порту. Эта служба нужна для работы RPC over http (DCOM "Tunneling TCP/IP" протокол). По умолчанию эта служба отключена на всех Windows системах.
Порты 80/443 используются RPC over HTTP илиDCOM "Tunneling TCP/IP" протоколом. Любая версия Windows, включая Windows 95 и Windows 98, могут туннелировать RPC трафик через 80 TCP порт. Чтобы включить эту возможность на win98, требуется предварительно установить DCOM95 1.2. Служба конфигурируется через утилиту DCOMCNFG.EXE. По умолчанию эта служба отключена на всех Windows системах. Для эксплуатации через эти порты, на сервере должны быть установлен IIS и COM Internet Services Proxy. Существует ничтожно малое количество публично доступных серверов, использующих эту возможность.