Уязвимость Rpc Dcom N2

[GexogeN]

В свете недавних событий... Решил так же спрсить у знающего населения форума... Вообчем сам вопрос...
Есть такая утиля SMBdie - утиля позволяет ребутить тачилу удаленно (некое западло) Работает наскока я понял через те же порты что и MSBlast, Поставил заплатку от MSBlasta ткнул первый сервис пак на ХР - всё равно защиты нет! Че делать?

[Gerasim]

David7

Цитата:

nu ati proboval svoy link

Лично не пробовал, у меня Аутпост стоит, люди пробовали, говорят работает

я закрыл порты через dcom мобулатор и нефига не кусает

Недавно писал, что сестру бластера словил
Симптомы те же были.
Разобрался с этим делом.
В этом был виноват товарищ антивирус NOD32
Зашел на офсайт, и по логину и паролю скачал инсталяшку.
Поставил, зашел обновить базы - вылетел из сети к той маме
Удалил его - все нормально.
В папке Program Files\Common Names\запускались winnet.exe, cumviz.exe.
Из за них и была проблема.

[STOlet]

Watcher!
Откуда взялись протоколы 66,445, 593, 4444?
Ты рекомендуешь их заткнуть тоже???

[Seva]

Watcher

Цитата:

Watcher:
В папке Program Files\Common Names\запускались winnet.exe, cumviz.exe.

Что это за папка, откуда она у тебя? У меня такой папки и этих фалов НОД не устанавливал

[ShooTer]

Обрашаюсь ко всем:

Зашитится от етой дыры пока что нельзя,если не использовать Стену.
Ставьте стену и ждите пока Окошки закроют дыру в виде патча.

П.С. Узнать заражен или нет,можно только по активности вируса.

[Extension]

STOlet
4444 по любому надо закрывать, у меня в сети бласт именно по этому порту распространялся!

Seva, у меня NOD купленный и тоже нет таких файлов вообще на компе

[STOlet]

Extension- а протокол какой? Я че то не знаю совсем этот порт!

[David7]

to ShooTer

tak v 4em virajaetsya eta aktivnost'.

Kogda Blast bil, on delal opredelennie deystviya s RPC, drugie sozdavali directory Wins i dublirovali procesi, a etot 4to delaet?

Esli mojno, rasstolkuy dlya vsex.

[Extension]

STOlet

TCP

[STOlet]

Extension!
Спасибо, все сделал, будем надеяться что правильно все это

[Bosmr]

А вот такой вопрос:
если вдруг вылетело окошко с таймером, а я в это время набрал "shutdown -a", то это значит что я уже поражен? Или нет?

Поиском я ничего не обнаружил... дрвеб тоже молчит...
Что это может быть?
Да, сейчас никакой вирусной активности не наблюдается...

Просто получилось все очень глупо ... на рабочей станции решил погонять ADSL соедниения... (т.е. отключил ее от домена, и от сервера в первую очередь, где ессесьно, стена стояла, а заплаток я не ставил...)

у тех кого исп bezeqint то им скорее всего будет легче потомучто они собераются закрывать те самые порты через которые будет активность бласта

[ShooTer]

STOlet
DCOM32.com цепляется на 4444 порт. Его еше используют как Socket.

[ShooTer]

Уязвимость состояния операции обнаружена в некоторых версиях Microsoft Windows. Злонамеренный пользователь может вызвать отказ в обслуживании.

Уязвимость состояния операции обнаружена при обработке входящих RPC запросов. Удаленный пользователь может послать несколько специально обработанных RPC запросов, чтобы заставить 2 потока обработать один и тотже RPC запрос.

В результате удаленный атакубщий модет аварийно завершить работу RPC службы и перезагрузить операционную систему.

Эксплуатация уязвимости для выполнения произвольного кода по словам X-Force затруднительна. Однако, как стало известно SecurityLab, существует рабочий эксплоит, который с вероятностью 5-10% компрометирует уязвимую систему.


Способов устранения обнаруженной уязвимости не существует в настоящее время. Отключите DCOM. Фильтруйте уязвимые порты.

www.securitylab.ru

[ShooTer]

David7
Думаю ясно обяснено.

ShooTer
а как отключить DCOM?

[ShooTer]

kmp
Отключить DCOM можно двумя способами:

Через реестр.
HKEY_LOCAL_MACHINE\Software\Microsoft\OLE – измените значение EnableDCOM к N.
Затем перезагрузите операционную систему.
Через утилиту Dcomcnfg.exe.
Если вы используете Windows XP или Windows Server 2003, выполните следующие действия:
кликните Component Services под Console Root
Откройте папку Computers.
Для локального компьютера, кликните правой кнопкой мыши на My Computer и затем кликните Properties.
Для удаленного компьютера, кликните правой кнопкой мыши на папку Computers, затем new, и затем кликните Computer.
Введите имя компьютера.
Правой клавишей мыши на имени компьютера кликните на Properties.
Кликните на закладку Default Properties.
Снимите переключатель (check box) Enable Distributed COM on this Computer.
Кликните Apply, чтобы отключить DCOM.
Перезагрузите операционную систему.
Обратите внимание:
Отключение DCOM на Windows pre-SP3
Отключение DCOM на Windows 2000 системах, на которых не установлен Windows 2000 SP3 или более поздний, может не сработать. На таких системах, вы должны сперва установить

MS01-041/298012.

Предупреждение, если Вы отключаете DCOM, вы можете потерять функциональные возможности операционной системы. После того, как вы отключаете поддержку DCOM, может случится следующее:

Любой COM объект, который может быть активирован дистанционно, перестанет работать.
Локальный COM+ snap-in не сможет подключаться к удаленным серверам.
Функция авторегистрации сертификатов может неправильно функционировать.
Запросы Windows Management Instrumentation (WMI) удаленных серверов могут неправильно функционировать.
Потенциально существуют множество встроенных компонентов и сторонних приложений, которые могут перестать работать, если вы отключите DCOM. Microsoft рекомендует проверить работоспособность всех приложений, используемых в вашей среде, после отключения DCOM. Microsoft также предупреждает, что не во всех средах можно отключить DCOM.

Список приложений, которые требуют DCOM или имеют проблемы при отключенном DCOM:
Microsoft Access Workflow Designer
FrontPage с Visual Source Safe на IIS
BizTalk Server schedule client
Excel использует DCOM, если он включает RTD инструкцию
Win95 требует Client for Microsoft Networks или DCOM, чтобы работать с MS SNA Server
Microsoft Exchange Conferencing Server
Dell entire Open Manage suite
Veritas Backup Exec, Network based backup. Программа использует RPC/DCOM для проверки файлов открытых файлов и т.п.
Citrix NFuse Elite. При отключении DCOM, многие функции Citrix NFuse перестают функционировать.
Sophos (Antivirus) Enterprise Manager. Без DCOM программа отказывается работать.
Перестают работать множество функций в SMS 2.0 при отключенном DCOM.
Windows 95/98 и DCOM
Dcom может быть установлен на Windows 95/98 системах (DCOM95 1.2), однако заплаты для этих систем не были выпущены, так как Windows 95/98 системы больше не поддерживаются Microsoft.

Windows ME
Хотя Dcom и включен в операционную Windows ME, эта система по словам Microsoft не содержит уязвимый код.

Патч MS03-039 содержит в себе патч MS03-026, который ошибочно могут требовать установить некоторые утилиты проверки установки MS03-026. Если вы используете подобный инструмент, то обратитесь к его производителю, чтобы он внес соответствующие изменения в работу программы.
Уязвимость может эксплуатироваться через 80, 443 или 593 порт. К сожалению, нет подробной информации о способах эксплуатации обнаруженных уязвимостей через эти порты.
593 порт используется службой RPC over HTTP End Point Mapper. Эта служба очень похожа на службу RPC End Point Mapper на 135 TCP порту. Эта служба нужна для работы RPC over http (DCOM "Tunneling TCP/IP" протокол). По умолчанию эта служба отключена на всех Windows системах.
Порты 80/443 используются RPC over HTTP илиDCOM "Tunneling TCP/IP" протоколом. Любая версия Windows, включая Windows 95 и Windows 98, могут туннелировать RPC трафик через 80 TCP порт. Чтобы включить эту возможность на win98, требуется предварительно установить DCOM95 1.2. Служба конфигурируется через утилиту DCOMCNFG.EXE. По умолчанию эта служба отключена на всех Windows системах. Для эксплуатации через эти порты, на сервере должны быть установлен IIS и COM Internet Services Proxy. Существует ничтожно малое количество публично доступных серверов, использующих эту возможность.