14 новых уязвимостей в Microsoft Windows NT 4.0/2000/XP/2003
Программа: Windows NT® Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0, Terminal Server Edition, Windows 2000, Windows XP, Windows Server™ 2003

Опасность: Критическая

Наличие эксплоита: Нет

Описание: Microsoft опубликовала исправление, которое устраняет 14 недавно обнаруженных уязвимостей в Windows NT 4.0/2000/XP/2003. Удаленный атакующий может получить полный контроль над системой, включая установку программ, просмотр, чтение или удаление данных или создание новых учетных записей.

1. LSASS Vulnerability - CAN-2003-0533: Удаленное переполнение буфера обнаружено в LSASS. Удаленный атакующий может эксплуатировать эту уязвимост, чтобы получить полный контроль над уязвимой системой.

2. LDAP Vulnerability - CAN-2003-0663: Удаленный атакующий может послать специально обработанное LDAP сообщение к контроллеру домена, чтобы заставить сервер прекратить обслуживать аутентифицированных пользователей в Active Directory домене.

3. PCT Vulnerability - CAN-2003-0719: Переполнение буфера обнаружено в Private Communications Transport (PCT) протоколе, который является частью Microsoft Secure Sockets Layer (SSL) библиотеки. Уязвимы только системы, использующие SSL протокол, и в некоторых случаях Windows 2000 контроллер домена. Атакующий, который успешно эксплуатирует эту уязвимость, может получить полный контроль над уязвимой системой.

4. Winlogon Vulnerability - CAN-2003-0806: Переполнение буфера обнаружено в Windows logon process (Winlogon). Процесс не проверяет размер значений, используемых в процессе входа в систему. В результате удаленный атакующий может выполнить произвольный код на уязвимой системе. Уязвимы только системы, которые являются членами домена. Атакующий, который успешно эксплуатирует эту уязвимость, может получить полный контроль над уязвимой системой.

5. Metafile Vulnerability - CAN-2003-0906: Переполнение буфера обнаружено в обработке Windows Metafile (WMF) и Enhanced Metafile (EMF) форматов изображений, позволяя удаленному атакующему выполнить произвольный код на уязвимой системе. Уязвимы любые программы, обрабатывающие WMF или EMF изображения. Атакующий, который успешно эксплуатирует эту уязвимость, может получить полный контроль над уязвимой системой.

6. Help and Support Center Vulnerability - CAN-2003-0907: Уязвимость удаленного выполнения произвольного кода обнаружена в Help and Support Center в пути, которым система обрабатывает HCP URL. Атакующий может сконструировать специально обработанный HCP URL, который выполнить произвольный код на системе пользователя, просматривающего злонамеренную Web страницу или HTML email сообщение. Атакующий, который успешно эксплуатирует эту уязвимость, может получить полный контроль над уязвимой системой.

7. Utility Manager Vulnerability - CAN-2003-0908: Уязвимость поднятия привилегий обнаружена в пути, которым Utility Manager запускает приложения. Зарегистрированный пользователь может заставить Utility Manager запустить приложение с SYSTEM привилегиями, чтобы получить полный контроль над уязвимой системой.

8. Windows Management Vulnerability - CAN-2003-0909: Уязвимость поднятия привилегий обнаружена в пути, которым Windows XP позволяет создавать задачи. При некоторых условиях, непривилегированный пользователь может создать задачу, которые будет выполнена с системными привилегиями, чтобы получить полный контроль над уязвимой системой.

9. Local Descriptor Table Vulnerability - CAN-2003-0910: Уязвимость поднятия привилегий обнаружена в программном интерфейсе, который используется для создания записей в Local Descriptor Table (LDT). Эти записи содержат информацию об сегментах памяти. Атакующий, зарегистрированный в системе локально, может создать специально обработанную запись чтобы получить доступ к защищенной памяти, чтобы получить полный контроль над системой.

10. H.323 Vulnerability - CAN-2004-0117: Уязвимость удаленного выполнения произвольного кода обнаружена в пути, которым Microsoft H.323 протокол обрабатывает некорректные запросы. Атакующий, который успешно эксплуатирует эту уязвимость, может получить полный контроль над уязвимой системой.

11. Virtual DOS Machine Vulnerability - CAN-2004-0118: Уязвимость поднятия привилегий обнаружена в компоненте операционной системы, которая обрабатывает Virtual DOS Machine (VDM) подсистему. Уязвимость позволяет локальному пользователю получить полный контроль над уязвимой системой.

12. Negotiate SSP Vulnerability - CAN-2004-0119 Переполнение буфера обнаружена в Negotiate Security Software Provider (SSP) интерфейсе. Уязвимость обнаружена в пути, которым Negotiate SSP интерфейс обрабатывает значение, используемое в процессе аутентификации. Атакующий, который успешно эксплуатирует эту уязвимость, может получить полный контроль над уязвимой системой.

13. SSL Vulnerability - CAN-2004-0120: Отказ в обслуживании обнаружен в Microsoft Secure Sockets Layer (SSL) библиотеке. Удаленный атакующий может создать специально обработанное SSL сообщение, которое заставить уязвимую систему прекратить обслуживать SSL подключения на Windows 2000 и Windows XP. На Windows Server 2003, система автоматически будет перезагружена.

14.ASN.1 “Double Free” Vulnerability - CAN-2004-0123: Уязвимость, позволяющая удаленно выполнить произвольный код, обнаружена в Microsoft ASN.1 библиотеке. Уязвимость связана с возможностью двойного освобождения памяти в Microsoft ASN.1 Library. . Атакующий, который успешно эксплуатирует эту уязвимость, может получить полный контроль над уязвимой системой. Однако, большинство сценариев нападения приведут к отказу в обслуживании.

В Сети появился новый червь Worm.Win32.Blaster.a, использующий уязвимость в службе Microsoft Windows DCOM RPC. Данная "дыра" позволяет злоумышленнику подключиться к уязвимому компьютеру, выполнять команды и запускать приложения от имени системы (пользователь LocalSystem). При запуске, червь просматривает случайный диапазон IP адресов, для поиска уязвимых компьютеров (TCP порт 135). К найденным компьютерам, червь пытается применить уязвимость в службе Microsoft Windows DCOM RPC для удаленного соединения и передаче уязвимому компьютеру TFTP команды на загрузку основного тела червя.

Microsoft устроила себе DDoS атаку
fin | 19:20 | ссылка на материал

Несколько дней назад корпорация Microsoft выпустила ежемесячный набор исправлений для всех операционных систем семейства Windows и ряда входящего в них ПО. Как оказалось, количество желающих скачать внушительного размера обновления, охватывающие 90% Windows-систем, было весьма велико и привело к значительной нагрузке на серверы Microsoft, сделав их недоступными на протяжении несколько часов. Сообщается о  попытках загрузки обновлений 3-4 миллионами пользователей каждый час (ранее обновления загружали не более 2 миллионов пользователей ежечасно), что привело к стабильной скорости скачивания примерно 50 ГБ в секунду! Фактически, корпорация подверглась непредумышленной DDoS-атаке со стороны собственных пользователей!

Как результат такой нагрузки, многие пользователи столкнулись с ошибками в работе сервиса Windows Update и не смогли вовремя загрузить обновления, что привело к необходимости их повторной загрузки, опять же отражавшейся на работе серверов. Сотрудникам корпорации пришлось за короткое время удвоить мощность серверов, обслуживающих загрузку обновлений, и в дальнейшем они без проблем справлялись с 4-миллионным ежечасным потоком пользователей.

Первый бюллетень MS04-011 получил рейтинг критической важности и описывает почти полтора десятка уязвимостей в ОС Windows 98, Ме, 2000, ХР, NT и Server 2003. Злоумышленник, воспользовавшийся данными дырами, теоретически получает возможность выполнения в удаленной системе произвольного программного кода, в том числе, уничтожающего персональную информацию. Хакер может поднять до максимума уровень собственных привилегий, установить какое-либо программное обеспечение и украсть интересующие его файлы. В частности, ошибки переполнения буфера присутствуют в локальной подсистеме аутентификации пользователей LSASS, протоколе PCT, являющемся частью библиотеки SSL, компоненте Winlogon, использующемся при входе в систему, и модуле Negotiate Security Support Provider (SSP), обеспечивающем выбор протокола, по которому клиент будет обмениваться данными с сервером в процессе аутентификации. Кроме того, спровоцировать переполнение буфера можно, заставив жертву просмотреть сформированный особым образом графический файл в формате WMF или EMF.

Ряд других уязвимостей, описанных в MS04-011, обеспечивают проведение DoS-атак. Ошибки данного типа содержатся в облегченном протоколе доступа к каталогу (LDAP) и библиотеке SSL. Наконец, дыры в диспетчере служебных программ (Utility Manager), программном интерфейсе, применяющемся при вводе данных в таблицу локальных дескрипторов Local Descriptor Table (LDT), и модуле для работы виртуальной машины DOS (VDM) позволяют хакеру поднять уровень собственных привилегий. Софтверный гигант рекомендует при первой же возможности загрузить соответствующее обновление, устраняющее опасность.

В Сети появился новые черви Worm.Win32.Sasser.a и Worm.Win32.Sasser.b, эксплуатирующие уязвимость в службе LSASS Microsoft Windows. Данная "дыра" позволяет злоумышленнику подключиться к уязвимому компьютеру, выполнять команды и запускать приложения от имени системы (пользователь LocalSystem).

Червь сканирует IP-адреса в поисках компьютеров, подверженных уязвимости MS04-011. Уязвимый компьютер на TCP-порту 9996 запускает командную оболочку "cmd.exe" и принимает команду на загрузку и запуск копии червя. Загрузка выполняется по протоколу FTP.

Для этого червь запускает FTP-сервер на TCP-порту 5554 и по запросу с уязвимого компьютера загружает туда свою копию. Загруженная копия имеет имя "_up.exe", где N - случайное число.

При запуске червь регистрирует себя в ключе автозапуска системного реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
avserve2.exe = %WINDIR%\avserve2.exe
Червь написан на языке C/C++, с использованием компилятора Visual C. Имеет размер ок. 15 Кб, упакован ZiPack.

Второй бюллетень, получивший индекс MS04-012, также связан с возможностью удаленного выполнения кода и организации DoS-атак на операционные системы вышеуказанных версий. Дыры в библиотеке RPC Runtime (используется при удаленном вызове процедур), службе RPCSS и некоторых других компонентах ОС носят рейтинг критической важности и требуют немедленного латания.