Tiedotteen MS08-067 kuvaus
MS08-067 Vulnerability in Server Service Could Allow Remote Code Execution (958644)
Luokitus: Kriittinen (Critical)
Vaikutus: Remote Code Execution
Tiedote MS08-067 koskee Windows-käyttöjärjestelmän Server-palvelua. Server-palvelun tehtävänä on tarjota RPC-kutsujen (Remote Procedure Call) ja named pipe -tietonsiirtomenetelmän tukea sekä hoitaa järjestelmästä jaettujen tiedosto- ja tulostusresurssien jakaminen verkon muille järjestelmille. Palvelusta on löydetty haavoittuvuus, joka liittyy palvelun tapaan käsitellä tietyllä tavalla muotoiltuja RPC-kutsuja. Vihamielinen hyökkääjä voi hyödyntää haavoittuvuutta lähettämällä kohteena olevalle järjestelmälle tietyllä tavalla muotoillun RPC-paketin verkon välityksellä. Paketin käsitteleminen Server-palvelussa muistinkäsittelyvirheen, joka taas antaa vihamieliselle hyökkääjälle mahdollisuuden suorittaa haluamaansa ohjelmakoodia kohteena olevassa järjestelmässä (Remote Code Execution -tyyppinen haavoittuvuus). Ohjelmakoodi suoritetaan System-tunnuksen käyttöoikeuksilla, mikä tarkoittaa sitä, että haavoittuvuuden onnistunut hyödyntäminen antaa hyökkääjälle kaikki oikeudet kohteena olevaan järjestelmään. Lisätietoja haavoittuvuudesta on englanninkielisessä tiedotteessa osoitteessa https://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx.
Haavoittuvuutta on jo hyödynnetty hyvin rajoitetussa määrin kohdistetuissa hyökkäyksissä, minkä johdosta Microsoft suosittelee, että korjaus asennetaan mahdollisimman nopeasti.
Huomautuksia:
- Windows Vista- ja Windows Server 2008 -käyttöjärjestelmällä varustetuissa järjestelmissä haavoittuvuuden hyödyntäminen edellyttää kelvollista käyttäjätunnusta ja salasanaa kohdejärjestelmään.
- Haavoittuvuuden aiheuttamaa riskiä voidaan pienentää myös seuraavilla tavoilla:
* Poistamalla Server- ja Computer Browser -palvelut käytöstä.
* Estämällä liikennöinti kohdejärjestelmässä TCP-portteihin 139 ja 445.
* Windows Vista- ja Windows Server 2008 -käyttöjärjestelmällä varustetuissa järjestelmissä suodattamalla haavoittuvuutta koskeva RPC-tunniste käytöstä.
* Lisätietoja näistä menetelmistä on englanninkielisen tiedotteen Workarounds-osiossa osoitteessa https://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx.
* Korjaus vaatii järjestelmän uudelleenkäynnistyksen asennuksen jälkeen.
* Korjauksen asennuksen voi peruuttaa.
* Korjaus voidaan tunnistaa MBSA-ohjelmiston (Microsoft Baseline Security Analyzer) versiolla 2.1.
* Korjaus voidaan asentaa SMS-ohjelmiston (Systems Management Server) avulla.
* Korjaus voidaan asentaa Windows Update- ja Microsoft Update -sivustojen sekä Windows Server Update Services -palvelun avulla.
* Korjaus tulee saataville Microsoftin Downloads-sivustoon (https://www.microsoft.com/downloads, linkit yksittäisiin korjauksiin löytyvät englanninkielisestä tiedotteesta osoitteessa https://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx).
Haavoittuvuus koskee seuraavia käyttöjärjestelmiä:
- Microsoft Windows 2000 (Service Pack 4)
- Microsoft Windows XP (Service Pack 2 ja Service Pack 3)
- Microsoft Windows XP Professional x64 Edition (alkuperäinen versio ja Service Pack 2)
- Microsoft Windows Server 2003 (Service Pack 1 ja Service Pack 2)
- Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 1 ja Service Pack 2)
- Microsoft Windows Server 2003 x64 Edition (alkuperäinen versio ja Service Pack 2)
- Microsoft Windows Vista (alkuperäinen versio ja Service Pack 1)
- Microsoft Windows Vista x64 Edition (alkuperäinen versio ja Service Pack 1)
- Microsoft Windows Server 2008 (kaikki versiot)
Haavoittuvuuteen liittyviä lisätietoja ja linkit korjauksen eri versioihin löytyvät Microsoftin Web-sivustosta seuraavista osoitteista:
https://www.microsoft.com/technet/security/bulletin/ms08-oct.mspx
https://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx