Уязвимость Rpc Dcom N2 - Безопасность

ShooTer · 11.10.2003, 00:15

После тщательной проверки, сразу из нескольких источников стало известно, что “универсальный ”эксплоит против DCOM№2 уязвимости, опубликованный в среду на нашем форуме, работает даже при установленной заплате MS03-39.

Пока удалось настроить эксплоит только для DoS нападения, но скорее всего эксплоит можно оптимизировать и для выполнения произвольного кода. Всем пользователям срочно рекомендуется закрыть уязвимые порты для доступа из интернет, так как в ближайшее время возможно появление нового разрушительного червя, эксплуатирующего неустраненную уязвимость.

В настоящий момент уязвимость проверена на следующих системах:

* Microsoft Windows XP Professional
* Microsoft Windows XP Home
* Microsoft Windows 2000 Workstation

www.securitylab.ru

BRULIK · 11.10.2003, 14:57

Kak ih zakrit' vrycnuy v xp ?

ShooTer · 11.10.2003, 22:24

BRULIK
Поставить "стену" & установить все заплатки.
Но на данный момент зашитится проблематично,так как експлоит уже пошел по рукам а зашиты нет,как ты понял из моего предыдушего поста.

12.10.2003, 00:11

как моwно порты вручную закрыть и моwno ли просто proxy поставит и все?

Jeff · 12.10.2003, 00:33

вчера OutPost поставил....и так т не догнал, как на нём порты закрывать

.....кто нить объясните пожалуйста

Gerasim · 12.10.2003, 00:51

IDF
http://www.3dnews.ru/communication/firewall2000xp/
Там про штатные средства 2000 и XP

Добавлено через 12 минут:
Jeff
http://www.kpnemo.ru/index.php?pageID=234
Там с картинками

12.10.2003, 02:07

ShooTer

Откуда такая инфа? Я про червя имею ввиду. И порты на входящие закрывать??

12.10.2003, 03:12

ВО НАЧИЛОС я толко вклучил комп сарзу появилос знакомая надпис типа wиндоwс хочет рестарт шяс с фиреwаллом работаю

12.10.2003, 06:16

Ага

, меня вчера убили ...
Только зашел - выскакивает аля бластер

Заплатки были, пофиг ...
Поставил сегодня Kaspersky Anti-Hacker,
перекрыл порты 135 - 139 входящие,
базирующиеся на TCP и UDP.
Чего еще закрыть

Gera1999 · 12.10.2003, 06:19

IDF
Да? А ты действительно уверен, что это ОНО ?
любопытно вот только:

Цитата:

шяс с фиреwаллом работаю

это до заражения или после? если после, то как оно влияет?

to all :
поясните для уверенности, в Outpost для данного случая создаем правило:
где протокол - TCP?
где направление - входящие?
где удаленный порт-...?
где локальный порт -135,137,139?

"блокировать эти данные"

спасибо за конструктивные ответы.

12.10.2003, 07:00

Gera1999
Если, не оно - так его сестра

Насколько я понял:
TCP: 135, 139, 445, 593, 4444
UDP: 69, 135, 137,138
Лучше заткнуть ...
Кто больше gigi

ShooTer · 12.10.2003, 07:45

Pashtet
Инфо уже весит везде.Експлоит проверял сам лично.Так что все раскручивается заново.
Закрывать входяшие,если еше не заражен.

12.10.2003, 15:09

я поставил блок на сам connection с вирусом и все. а шяс уwе даwе фиреwалл ненадо нету активности никакой

chudotvorec · 12.10.2003, 18:57

Утилита для удаления RPC DCOM из ОС Windows.
На сайте Gibson Research Corporation обнаружена довольно интересная (и в свете последних новостей - довольно актуальная) утилита для удаления RPC DCOM из ОС Windows. Называется утилита довольно забавно - "DCOMbobulator". Помимо удаления этого сервиса утилита также проверяет саму уязвимость. Весит всего 29 килобайт. Также на приведенной ниже странице рассказывается о том, что такое DCOM и насколько она необходима "счастливым" пользователям ОС WinXP, 2K.
http://grc.com/dcom/

Взято от сюда http://uinc.ru/news/index.shtml

12.10.2003, 19:21

спасибо класная прога

ShooTer · 13.10.2003, 02:07

chudotvorec

Ето утилита только для домашних юзеров и то в редких случаях...Не думаю ,что она применимам в широких кругах..

Добавлено в ту же минуту:
IDF
А если адресс сменится ,либо имя файла?

13.10.2003, 02:39

ShooTer
один рестарт не страшен да тем более я уwе порты закрыл

i voobshe ya dcom ubral tak che mne nado esh`e bespokoitsya ?

chudotvorec · 13.10.2003, 05:18

Цитата:

Первоначальное сообщение от ShooTer
chudotvorec

Ето утилита только для домашних юзеров и то в редких случаях...Не думаю ,что она применимам в широких кругах..

Почему в редких случаях?

Camelot · 13.10.2003, 13:41

Чета не понял на kpnemo сказанно что експлоит может покарать через 135,137,139 порты. А вышеозначенная DCOMbobulator божится что выключив DCOM и этим закрыв тока 135-ый можем жить спокойно. Кто прав-то?

David7 · 14.10.2003, 11:08

to ShooTer

Цитата:

Закрывать входяшие,если еше не заражен.

A kak znat' 4to uje zarajen ili net?

to GERASIM

nu ati proboval svoy link

http://www.3dnews.ru/communication/firewall2000xp/

na rabotosposobnost'? Pomogaet?

Добавлено через 21 минуту:
to ShooTer

Цитата:

Закрывать входяшие,если еше не заражен.

A kak znat' 4to uje zarajen ili net?

to GERASIM

nu ati proboval svoy link

http://www.3dnews.ru/communication/firewall2000xp/

na rabotosposobnost'? Pomogaet?

11.10.2003, 14:57	# 2
BRULIK Member Регистрация: 24.03.2003 Сообщения: 300	Kak ih zakrit' vrycnuy v xp ? __________________ 0 Вы в интернете 1 Вы на сайте http://www.imho.ws 2 Вы читаете это 4 Вы не заметили отсутствия пункта 3 5 Вы это проверили 6 Вы улыбаетесь

11.10.2003, 22:24	# 3
ShooTer Chameleon MOD Регистрация: 29.04.2003 Сообщения: 2 515	BRULIK Поставить "стену" & установить все заплатки. Но на данный момент зашитится проблематично,так как експлоит уже пошел по рукам а зашиты нет,как ты понял из моего предыдушего поста. __________________ "That vulnerability is completely theoretical."

12.10.2003, 00:51	# 6
Gerasim Регистрация: 12.09.2002 Адрес: Russia Сообщения: 2 634	IDF http://www.3dnews.ru/communication/firewall2000xp/ Там про штатные средства 2000 и XP Добавлено через 12 минут: Jeff http://www.kpnemo.ru/index.php?pageID=234 Там с картинками __________________ Барыня, конечно, сволочь, но собачку мы утопим...

12.10.2003, 06:16	# 9
Watcher Guest Сообщения: n/a	Караул! Убивают!!! Ага , меня вчера убили ... Только зашел - выскакивает аля бластер Заплатки были, пофиг ... Поставил сегодня Kaspersky Anti-Hacker, перекрыл порты 135 - 139 входящие, базирующиеся на TCP и UDP. Чего еще закрыть

13.10.2003, 02:07	# 16
ShooTer Chameleon MOD Регистрация: 29.04.2003 Сообщения: 2 515	chudotvorec Ето утилита только для домашних юзеров и то в редких случаях...Не думаю ,что она применимам в широких кругах.. Добавлено в ту же минуту: IDF А если адресс сменится ,либо имя файла? __________________ "That vulnerability is completely theoretical."

11.10.2003, 00:15	# 1
ShooTer Chameleon MOD Регистрация: 29.04.2003 Сообщения: 2 515	Уязвимость Rpc Dcom N2 После тщательной проверки, сразу из нескольких источников стало известно, что “универсальный ”эксплоит против DCOM№2 уязвимости, опубликованный в среду на нашем форуме, работает даже при установленной заплате MS03-39. Пока удалось настроить эксплоит только для DoS нападения, но скорее всего эксплоит можно оптимизировать и для выполнения произвольного кода. Всем пользователям срочно рекомендуется закрыть уязвимые порты для доступа из интернет, так как в ближайшее время возможно появление нового разрушительного червя, эксплуатирующего неустраненную уязвимость. В настоящий момент уязвимость проверена на следующих системах: * Microsoft Windows XP Professional * Microsoft Windows XP Home * Microsoft Windows 2000 Workstation www.securitylab.ru __________________ "That vulnerability is completely theoretical." Последний раз редактировалось ShooTer; 12.10.2003 в 07:53.

12.10.2003, 00:11	# 4
IDF Guest Сообщения: n/a	как моwно порты вручную закрыть и моwno ли просто proxy поставит и все?

12.10.2003, 00:33	# 5
Jeff Not moD грузчик кильки Регистрация: 21.07.2002 Адрес: Иссстоооония Сообщения: 5 439	вчера OutPost поставил....и так т не догнал, как на нём порты закрывать .....кто нить объясните пожалуйста

12.10.2003, 02:07	# 7
Pashtet Guest Сообщения: n/a	ShooTer Откуда такая инфа? Я про червя имею ввиду. И порты на входящие закрывать??

12.10.2003, 03:12	# 8
IDF Guest Сообщения: n/a	ВО НАЧИЛОС я толко вклучил комп сарзу появилос знакомая надпис типа wиндоwс хочет рестарт шяс с фиреwаллом работаю

12.10.2003, 07:00	# 11
Watcher Guest Сообщения: n/a	Gera1999 Если, не оно - так его сестра Насколько я понял: TCP: 135, 139, 445, 593, 4444 UDP: 69, 135, 137,138 Лучше заткнуть ... Кто больше gigi

12.10.2003, 07:45	# 12
ShooTer Chameleon MOD Регистрация: 29.04.2003 Сообщения: 2 515	Pashtet Инфо уже весит везде.Експлоит проверял сам лично.Так что все раскручивается заново. Закрывать входяшие,если еше не заражен. __________________ "That vulnerability is completely theoretical."

12.10.2003, 15:09	# 13
IDF Guest Сообщения: n/a	я поставил блок на сам connection с вирусом и все. а шяс уwе даwе фиреwалл ненадо нету активности никакой

12.10.2003, 18:57	# 14
chudotvorec Junior Member Регистрация: 28.01.2002 Адрес: israel Сообщения: 125	Утилита для удаления RPC DCOM из ОС Windows. На сайте Gibson Research Corporation обнаружена довольно интересная (и в свете последних новостей - довольно актуальная) утилита для удаления RPC DCOM из ОС Windows. Называется утилита довольно забавно - "DCOMbobulator". Помимо удаления этого сервиса утилита также проверяет саму уязвимость. Весит всего 29 килобайт. Также на приведенной ниже странице рассказывается о том, что такое DCOM и насколько она необходима "счастливым" пользователям ОС WinXP, 2K. http://grc.com/dcom/ Взято от сюда http://uinc.ru/news/index.shtml

12.10.2003, 19:21	# 15
IDF Guest Сообщения: n/a	спасибо класная прога

13.10.2003, 02:39	# 17
IDF Guest Сообщения: n/a	ShooTer один рестарт не страшен да тем более я уwе порты закрыл i voobshe ya dcom ubral tak che mne nado esh`e bespokoitsya ? Последний раз редактировалось IDF; 13.10.2003 в 02:41.

13.10.2003, 13:41	# 19
Camelot Junior Member Регистрация: 12.08.2002 Сообщения: 97	Чета не понял на kpnemo сказанно что експлоит может покарать через 135,137,139 порты. А вышеозначенная DCOMbobulator божится что выключив DCOM и этим закрыв тока 135-ый можем жить спокойно. Кто прав-то?