Microsoft Security Bulletin MS03-026

Naviga SWZ: Home Page » News
News del 17 Luglio 03 Autore: Eymerich
<b><font color=blue>Il sovraccarico di un buffer nell'interfaccia RPC può consentire l'esecuzione di codice (kb 823980)</font></b> <u>Sintomi</u> La chiamata a procedura remota (RPC) è un protocollo utilizzato dal sistema operativo Windows che fornisce un meccanismo di comunicazione tra i diversi processi, consentendo l'esecuzione integrata di codice in un computer remoto tramite un programma in esecuzione su un altro computer. Il protocollo RCP utilizzato in Windows è una derivazione del protocollo RPC di Open Software Foundation (OSF), in cui sono state incluse alcune ulteriori estensioni specifiche per i prodotti Microsoft. Esiste un problema di protezione nella parte della chiamata di procedura remota (RPC) relativa allo scambio dei messaggi su TCP/IP. Questo problema, risultato di una gestione non corretta dei messaggi non validi, influisce negativamente su un'interfaccia DCOM (Distributed Component Object Model) con RPC in ascolto sulla porta TCP/IP 135. Questa interfaccia consente la gestione delle richieste di attivazione degli oggetti DCOM che giungono al server dai computer client, quali percorsi UNC (Universal Naming Convention). Per poter sfruttare questo problema di protezione un utente malintenzionato dovrebbe inviare una richiesta formulata in modo specifico al computer remoto sulla porta 135. <u>Fattori attenuanti</u> <Li> Per poter sfruttare questo problema di protezione l'utente malintenzionato dovrebbe inviare una richiesta formulata in modo specifico al computer remoto sulla porta 135. Negli ambienti Intranet questa porta è generalmente accessibile, mentre nei computer con collegamento Internet la porta 135 è solitamente bloccata da un firewall. Quando tale porta non è bloccata e negli ambienti Intranet l'utente manlintenzionato non deve disporre di particolari privilegi per riuscire a penetrare nel sistema. <Li>Secondo le procedure ottimali di gestione, è consigliabile bloccare tutte le porte TCP/IP che non sono effettivamente in uso. Per quasi tutti i computer collegati a Internet la porta 135 dovrebbe essere già bloccata. RPC su TCP non è concepito per l'utilizzo in ambienti poco sicuri come Internet. Per tali ambienti sono disponibili protocolli più affidabili, come ad esempio RPC su HTTP (Hypertext Transfer Protocol). <font color=blue>Effetti della vulnerabilità: esecuzione di codice non autorizzato Livello di gravità: <b>Critico</b> Raccomandazioni: si consiglia agli amministratori di sistema di applicare immediatamente la patch. </font> Software interessati: Microsoft Windows NT® 4.0 Microsoft Windows NT 4.0 Terminal Services Edition Microsoft Windows 2000 Microsoft Windows XP Microsoft Windows Server™ 2003 Software non interessati: Microsoft Windows Millennium Edition <B>Aggiornamenti in Italiano : </b> <img src=https://www.swzone.it/img/download.gif align=absmiddle> <a href=http://download.microsoft.com/download/b/f/b/bfbb08d5-90af-49fb-9ac7-ccf4c196a5a1/ita_Q823980i.exe target=_blank>Windows NT</a> 1,25 kb <img src=https://www.swzone.it/img/download.gif align=absmiddle> <a href=http://download.microsoft.com/download/9/8/b/98b404d3-849d-4e95-9928-a2a14c65862b/Windows2000-KB823980-x86-ITA.exe target=_blank>Windows 2000</a> <B>(*)</B> 900 kb <img src=https://www.swzone.it/img/download.gif align=absmiddle> <a href=http://download.microsoft.com/download/a/2/f/a2fddb77-f81d-4fe5-a819-8787cba53a4b/WindowsXP-KB823980-x86-ITA.exe target=_blank>Windows XP</a> 1,23 Mb <img src=https://www.swzone.it/img/download.gif align=absmiddle> <a href=http://download.microsoft.com/download/e/e/e/eeeef42a-5ce6-4a2d-8d9c-fa968028f06b/WindowsServer2003-KB823980-x86-ITA.exe target=_blank>Windows Server 2003</a> 1,41 Mb <b>Attenzione ! <font color=blue>Era stato largamente previsto che i "virus writers" avrebbero approfittato dell'occasione : sino a oggi sono infatti sei ( senza contare le varianti ) i virus che sfruttano la vulnerabilità descritta nella notizia ; se riscontrate errori nel servizio RPC e in svchost.exe, è molto probabile che il vostro sistema sia alle prese con uno di essi. Ai link sottostanti sono disponibili le descrizioni e i metodi per ripulire i sistemi infetti.</font></b> <img src=https://www.swzone.it/img/link.gif align=absmiddle> <a href= target=_blank>W32/Lovsan.worm</a> <img src=https://www.swzone.it/img/link.gif align=absmiddle> <a href=http://www.swzone.it/news/swznews.php?action=news&id=8050 target=_blank>W32/Spybot.worm.lz</a> <img src=https://www.swzone.it/img/link.gif align=absmiddle> <a href=http://www.swzone.it/news/swznews.php?action=news&id=8114 target=_blank>W32/Nachi.worm</a> <img src=https://www.swzone.it/img/link.gif align=absmiddle> <a href=http://www.swzone.it/news/swznews.php?action=news&id=8163 target=_blank>W32/Gaobot.worm.y</a> <img src=https://www.swzone.it/img/link.gif align=absmiddle> <a href=http://vil.mcafee.com/dispVirus.asp?virus_k=100574 target=_blank>W32/Raleka.worm</a> <img src=https://www.swzone.it/img/link.gif align=absmiddle> <a href=http://vil.nai.com/vil/content/v_100621.htm target=_blank>W32/Nexiv.worm</a> <b>Guida Microsoft per la prevenzione e la rimozione del virus</b> : <img src=https://www.swzone.it/img/link.gif align=absmiddle> <a href=http://www.microsoft.com/italy/security/articles/blast.mspx target=_blank>Come proteggersi dal virus Blaster e dalle sue varianti </a> <B>(*)</B> : Per applicare la patch è necessario disporre di Windows 2000 Service Pack 2 (SP2), Windows 2000 Service Pack 3 (SP3) o Windows 2000 Service Pack 4 (SP4). <font color=blue>Microsoft ha rilasciato un nuovo aggiornamento che protegge sia dalla vulnerabilità descritta che da altre sempre relative al servizio RPC ; vi rinviamo a <b><a href=http://news.swzone.it/swznews.php?action=focus&id=8389 target=_blank>questa pagina</a></b> per ulteriori informazioni.</font> <font size=1>Ultimo aggiornamento del 22 settembre h 17:20</font>
6 - Commento/i sul Forum

Voto:

Categoria: Sicurezza

La Community di SWZone.it

La community con le risposte che cerchi ! Partecipa é gratis !
Iscrizione ForumIscriviti al Forum

Newsletter

Vuoi ricevere tutti gli aggiornamenti di SWZone direttamente via mail ?
Iscrizione NewsletterIscriviti alla Newsletter

NOTIZIE CORRELATE