Microsoft выпустила очередной бюллетень по безопасности
своих продуктов, в котором уведомляет пользователей своих продуктов
о двух обнаруженных возможностях переполнения буфера в SQL Server 2000.
Использование одной из них позволяет злоумышленнику получить контроль
над атакуемой системой, вторая уязвимость позволяет выполнить на
компрометируемом сервере скрипт с более высокими чем обычно привилегиями.
Обе уязвимости обнаружены в SQLXML - компоненте, входящем в
состав SQL 2000, который позволяет обрабатывать запросы к базе данных
из XML документов. Наиболее серьезная уязвимость возможна из-за
некорректного функционирования ISAPI.
Для реализации данной уязвимости злоумышленнику достаточно отправить
специальным образом сгенерированный HTML запрос и ответ перенаправить
на IIS, который должен находится на том же самом хосте, что и сама
база данных, это приведет к переполнению буфера SQL 2000.
Далее в зависимости от "квалификации" нападающий может либо вызвать
ситуацию типа "отказ в обслуживании", либо получить полный контроль
над атакуемым сервером.
Вторая уязвимость, позволяет злоумышленнику выполнить на
скомпрометированном сервере какой-либо скрипт, с повышенными
привилегиями. Механизм реализации данной атаки крайне нетривиален,
а практический результат крайне мал, что детально ее рассматривать
не имеет смысла.
Для устранения данных уязвимостей рекомендуется использовать
следующие патчи:
Переполнения буфера службы RAS Windows NT, 2000, XP
В дополнение к предыдущему релизу Microsoft в тот же день
выпустила еще один релиз,
информирующий о возможности переполнения буфера в службе удаленного
доступа - RAS. Даная уязвимость может быть использована для повышения
привилегий и получения полного контроля над атакуемым хостом.
Данная уязвимость обнаружена David Litchfield из NGSSoftware и
является следствием некорректного контроля записей телефонной книги RAS.
Злоумышленник, обладающий локальной учетной записью на сервере с
активированным сервисом RAS, может сгенерировать запись телефонной
книги с нестандартными параметрами полей. При обработке такой записи
службой удаленного доступа возникает ситуация переполнения буфера, которая
может быть использована для повышения привилегий. Хотя уязвимость
имеет ярко выраженный локальный характер, однако наличие неотключенной
гостевой записи в системе может привести и к удаленному использованию
этой уязвимости.
Microsoft настоятельно рекомендует загрузить и инсталировать
соответствующие патчи:
eEye совместно
с Microsoft
сообщили о уязвимости IIS 4.0, 5.0, которая связана с некорректной
обработкой .htr запросов. Используя данную уязвимость, злоумышленник
может получить права администратора в IIS 4.0, и права действующего
пользователя IIS 5.0
Причина уязвимости кроется в фильтре обработки htr запросов,
входящего в состав ISAPI. HTR - первое поколение скриптов использовавшихся
при написании сайтов, сейчас они повсеместно заменены на элементы .ASP.
Через фильтр обработки htr запросов злоумышленник может перезаписывать
блоки информации непосредственно в оперативной памяти. В зависимости
от навыков и версии IIS атакующий может:
получить shell с правами администратора на IIS 4.0
получить shell с правами пользователя на IIS 5.0
вызвать крах IIS
Microsoft настоятельно рекомендует загрузить и инсталлировать
соответствующий патч:
либо отключить фильтр обработки htr запросов, если он не нужен для функционирования
корпоративного Web-севера.
Вирусы
Со времени выхода предыдущего номера рассылки в диком виде
новых опасных вирусов обнаружено не было.
Приводим список 10 наиболее распространенных вирусов:
PE_FUNLOVE.4099
WORM_KLEZ.H
PE_ELKERN.D
WORM_SIRCAM.A
PE_MAGISTR.B
WORM_KLEZ.E
PE_NIMDA.E
VBS_VBSWG.AQ
HTML_IFRMEX.GEN
PE_NIMDA.A-O
Осуществить бесплатное сканирование своего компьютера на наличие вирусов
можно, воспользовавшись утилитой
онлайнового сканирования.
Дополнительную информацию можно получить, направив запрос
автору рассылки.
С уважением, Игорь Камолов.
