Runar ja Kyllikki
Next door to Alice
Tää vastannee Wilpuri sun kysymykseesi:
http://www.f1-forum.net/cgi-bin/ubb/ultimatebb.cgi?ubb=get_topic;f=7;t=009744#000004
Turvallisuusvaroitus!!
- Viestiketjun aloittaja Runar ja Kyllikki
- Aloituspäivämäärä
http://www.f1-forum.net/cgi-bin/ubb/ultimatebb.cgi?ubb=get_topic;f=7;t=009744#000004
Axel
Well-known member
- Liittynyt
- 6.8.2000
- Viestit
- 691
Pääsyy siihen ettei aikaisempien winkkareiden käyttäytymistä ole Microsoftin puolelta raportoitu, johtuu yksinkertaisesti siitä ettei niitä tueta enää. (Microsoft tested Windows Me, Windows NT 4.0, Windows NT 4.0 Terminal Services Edition, Windows 2000, Windows XP and Windows Server 2003, to assess whether they are affected by this vulnerability. Previous versions are no longer supported, and may or may not be affected by this vulnerability.)
Kyseessä on kuitenkin RPC:n ylivuotoa hyödyntävä mato, joten se tarvitsee RPCProxyn kohdekoneessa. Tehokkain keino selvittää onko juuri omassa versiossa ko. toiminto, on hakea rpcproxy.dll tiedostoa. Jos se löytyy, kyseinen toiminto on asenenttuna. Se ei vielä tosin tarkoita sitä että se olisi käytössä. Vanhemmissa winkkareissa se ei ole asennettuna.
RPC toimintoon pääsee muutaman takaportin kautta, joten pelkästään portin 135 sulkeminen ei tuo varmuutta - esimerkiksi RPC over HTTP kuuntelee porttia 80. Käytännössä paras tapa on sulkea CIS, DCOM ja RPC johdannaiset palvelut koneesta joka on kiinni netissä.
Ohjeita tämän tekemiseen löytyy mm. näistä linkeistä:
http://support.microsoft.com/default.aspx?scid=kb;en-us;825819
http://support.microsoft.com/default.aspx?scid=kb;en-us;825750
happy updating,
Axel.
Kyseessä on kuitenkin RPC:n ylivuotoa hyödyntävä mato, joten se tarvitsee RPCProxyn kohdekoneessa. Tehokkain keino selvittää onko juuri omassa versiossa ko. toiminto, on hakea rpcproxy.dll tiedostoa. Jos se löytyy, kyseinen toiminto on asenenttuna. Se ei vielä tosin tarkoita sitä että se olisi käytössä. Vanhemmissa winkkareissa se ei ole asennettuna.
RPC toimintoon pääsee muutaman takaportin kautta, joten pelkästään portin 135 sulkeminen ei tuo varmuutta - esimerkiksi RPC over HTTP kuuntelee porttia 80. Käytännössä paras tapa on sulkea CIS, DCOM ja RPC johdannaiset palvelut koneesta joka on kiinni netissä.
Ohjeita tämän tekemiseen löytyy mm. näistä linkeistä:
http://support.microsoft.com/default.aspx?scid=kb;en-us;825819
http://support.microsoft.com/default.aspx?scid=kb;en-us;825750
happy updating,
Axel.
Okei. En oikeastaan tarkoittanut sitä, että ovatko portit oletuksena missä tilassa.. Vaan sitä tiedustelin, että mikähän mahtaa olla laita tuon nimenomaisen tietoturva-aukon suhteen. Microsoft itse on kertonut, että kyseistä tietoturva-aukkoa ei ole olemassa Windows Me:ssä. Windows 98:n suhteen kun eivät mitään maininneet kyseiseen aukkoon liittyvällä päivityssivulla (Blasterista kun kertoivat, niin siinä oli maininta, että ei koske 98:a, mutta ei osunut silmään mustaa valkoisella siitä, että mikä on tilanne tuon itse aukon suhteen 98:ssa), niin se siis johtuu tuosta, että eivät enää sen bugeja korjaile? Milloinkohan tuo tukeminen loppui, onko jo pitkäkin aika sitten?Runar ja Kyllikki:
Siinä suhteessa ilo on ennenaikaista, että ysikasissa on tuo portti kyllä auki, mutta juuri tämä mato ei sattunut hyödyntämään sitä. Eli 95/98/ME ovat vaaravyöhykkeessä myös.vermula:
Hah, kerrankin voi iloita siitä että on Win98(jos se vähän lohduttaa)
<small>[ 18-08-2003, 14:36: Message edited by: Wilpuri ]</small>
Balthazar
Luonnollisesti.
Onkos tämä Microsoftin päätös vielä voimassa? Tänne on parin päivän ajan tullut päivitysilmoituksia Windows Update-sivulta. Aidoilta näyttävät, mutta uskaltaisikohan noita jo asentaa?
Kaikki päivitykset ovat käsittääkseni olleet koko ajan saatavilla sivun http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/current.asp listan kautta..
Noilla Windows Update -sivulta tulleilla päivitysilmoituksilla taisit tarkoittaa tuon ylläolevan linkin kautta tilattavaa "Microsoft Security Notification" -palvelua? Mikäli niiden mailien aitous epäilyttää, niin kyseiset voit halutessaan varmistaa aidoiksi mailien PGP-signaturen avulla.
windowsupdate.microsoft.com oli vielä hiljan tavoittamattomissa, mutta nyt näkyy jotain eloa olevan, ja varmaankin myös sieltä on ihan turvallista asennella (en päässyt sen tarkemmin kurkkimaan, kun vaati IE:tä ja tässä ei moista ole) haluamiaan päivityksiä, mikäli tuo ylempänä mainitun linkin kautta suoritettavat manuaalisempi päivitysmenetelmä ei miellytä.
Vai onko niin, että windowsupdate.microsoft.com on ollut tarjolla koko ajan, mutta tuo www.windowsupdate.com on suljettu pysyvästi? Itse moista osoitetta tiennyt edes olevankaan, vaan tarvittaessa käyttänyt tuota hieman monimutkaisempaa osoitetta.
Balthazar
Luonnollisesti.
Jaa, pitääpä seuraavalla kerralla katsella noita päivitysilmoituksia vähän tarkemmin. Ja joo, taisivat tosiaan olla niitä "Security Notifications"-ilmoituksia, joihin vastasin vain että "ilmoita myöhemmin".
Kertauksen vuoksi tässäkin topikissa: mitään suoraan sähköpostin mukana liitteenä olevaa tiedostoa ei kannata missään nimessä ajaa tietokoneessaan, vaikka olisikin mistä tahansa hyvämaineisesta firmasta tullut sähköposti.
<small>[ 22-08-2003, 16:43: Message edited by: Wilpuri ]</small>
<small>[ 22-08-2003, 16:43: Message edited by: Wilpuri ]</small>
Balthazar
Luonnollisesti.
Edellisiin posteihin viitaten, päivitysosoite on tämä: http://v4.windowsupdate.microsoft.com/fi/default.asp?page=productupdates&sec=criti calupdates
Uskaltaisikohan tuon päivityksen suorittaa?
<small>[ 23-08-2003, 14:44: Message edited by: Sun of the pits ]</small>
Uskaltaisikohan tuon päivityksen suorittaa?
<small>[ 23-08-2003, 14:44: Message edited by: Sun of the pits ]</small>
Balthazar
Luonnollisesti.
Päivitin jo. Haastan Bill Gatesin käräjille, jos tuo oli huijausta.
Eliel
Detonaattori
- Liittynyt
- 10.10.2000
- Viestit
- 2795
Uutta rpc reikää pukkaa taas. Päivitellään taas kerran niitä vindowsseja....huoh.
http://www.ficora.fi/suomi/tietoturva/varoitukset/varoitus-2003-58.htm
http://www.ficora.fi/suomi/tietoturva/varoitukset/varoitus-2003-58.htm
Korjaus tuli XP:n palveluna. Eilen ilmestyi keltainen ilmoitus "Päivitykset valmiina plaa plaa plaa..." ja kysymys "ladataanko...", johon vastasin "Yeees baby". Siinä tiedosissa ei tarkemmin sanottu yksityiskohtia, mutta joidenkin hyökkäysten estämiseksi se oli.