Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта

ЗАО "Техно-СПб" Системная интеграция

Информационная безопасность. Часть II


Дыры и заплатки

═На═сайте═The═Register http://www.theregister.co.uk/contenet/ сообщается, что в тех приложениях Microsoft, которые используют управление Web-браузером, то есть в MS Outlook, Outlook Express и Internet Explorer, есть дыра, позволяющая злоумышленнику просматривать файлы на ПК пользователя, похищать cookie и выполнять некоторые другие операции.

Также обнаружена дыра в Outlook, позволяющая обойти пароли пользователя, а то и вовсе захватить контроль над машиной. При этом вложение, прикрепленное к письму, даже не требуется активировать. Заплатки пока нет. Еще одна дыра найдена в MS SQL Server, вернее проблем тут целых три, зато все они исправляются одним кумулятивным патчем.
Подробности на www.theregister.co.uk.

═Тех, кого интересуют вопросы защиты сетей от проникновения через принтеры, даем список статей в Интернет.

Первое проникновение на принтер зарегистрировано в 1999 году═≈ см. заметку на сайте TechWeb http://www.techweb.com/wire/story/TWB19 990617S0007/. Русский шпион проник в Центр космических и военно-морских систем (Space and Naval Systems Warfare Center═≈ Spa War) в г.═Сан-Диего (San Diego, California). Как говорится в статье, проникновение было обнаружено в сети Spa War обслуживающим ее инженером, обратившим внимание на непривычно долгий срок исполнения работы принтером. После проверки инженер пришел к выводу, что хакер переконфигурировал таблицы маршрутизации на оборудовании во всей сети Spa War таким образом, что информация отсылалась в Россию.

Прочие статьи:
http://iblnews.com/news/noticia.php3? id=37499 (испанский);
http://www.cnn.com/2001/TECH/industry/11/07/printer.vulnerability.idg/.

═Help Net Security опубликовал информацию об ошибке в Web-сервере iPlanet Web, которая может позволить получить удаленный просмотр содержимого любого файла на жестком диске пораженного компьютера. Уязвимое место есть в серверах iPlanet Web Server═6.0═SP2, iPlanet Web Server═4.1═SP9 и Netscape Enterprise Server═3.6. Ошибка проистекает из того, что поисковый движок, входящий в iPlanet═6.0 и его предыдущие версии, использует файлы шаблонов HTML для получения и форматирования поисковых параметров от пользователей. Составляя запрос с помощью команды ╚NS-query-pat╩, злоумышленник может определять файлы или их выбор, отличный от того, что делается по умолчанию. Уже появился Service Pack═3 для iPlanet═6.0 и Service Pack═10 для iPlanet═4.1.

═Корпорация Microsoft выпустила патч, пересматривающий заплатку от 12 июня 2002 года для решения проблемы переполнения буфера в телефонной книжке Remote Access Service (RAS). Хотя предыдущий патч исправлял уязвимое место, в некоторых случаях это имело побочный эффект для соединений в виртуальных сетях (Virtual Private Networks (VPN)). Эта проблема важна для MS Windows═NT, 2000 и XP, и критически важна для систем со службами Terminal Server или недискриминирующим локальным доступом, потому что злоумышленник может организовать сессию как законный пользователь, использовать дыру и повысить свои привилегии до уровня администратора.

Информацию и заплатки смотрите по адресу: http://www.microsoft.com/technet/security/bulletin/MS02-029.asp.

═Организация SecurityFocus сообщает по адресу http://online.securityfocus.com/bid/5170/discussion/ об обнаружении дыры в защите Nullsoft Winamp, посредством которой может быть запущен на исполнение вредоносный код. Nullsoft Winamp═≈ это один из наиболее широко используемых медиа-плейеров для файлов типа MP3 и прочих. Дыра позволяет создать переполнение буфера при проверке на наличие обновленной версии.

Из-за этой ошибки сервер по адресу http://www.winamp.com может вернуть неправильный ответ, так что хакер, который использует это уязвимое место, сможет запустить на исполнение код в процессе Winamp. Для достижения такого эффекта хакер должен получить контроль над доменом www.winamp.com.

═Microsoft разместила по адресу http://www.microsoft.com/technet/security/bulletin/MS02-032.asp патчи для Windows Media Player═6.4, 7.1 и Windows Media Player for Windows═XP.

Этот патч лечит следующие проблемы:
"═уязвимое место, позволяющее раскрывать информацию и исполнять вредоносный код на пораженной системе;
"═дыру, через которую хакер может получить физический доступ к машине под Windows═2000, начать сессию на ней и получить такие же права, как у ОС;
"═уязвимое место в скрипте исполнения, что позволяет злоумышленнику исполнять на машине любой код. Это следствие проблемы в плейлисте Windows Media Player.

В этот патч Microsoft также вставила изменение в конфигурации расширений файлов, относящихся к Windows Media Player, и новую функцию защиты для пользователей или организаций, которые хотят принять дополнительные меры безопасности.

Обновления могут быть получены со следующих адресов:
"═Для MS Windows Media Player═6.4: http://download.microsoft.com/download/winmediaplayer/Update/320920/W98NT42KMe/EN-US/wm320920_64.exe;
"═Для MS Windows Media Player═7.1: http://download.microsoft.com/download/winmediaplayer/Update/320920/W982KMe/EN-US/wm320920_71.exe;
"═Для MS Windows Media Player for Windows═XP: http://download.microsoft.com/download/winmediaplayer/Update/320920/WXP/EN-US/wm320920_8.exe.

Вирусы

1.═Обнаружен червь, поражающий компьютеры, использующие Web-сервер Apache. Червь, пока еще не получивший официального названия, использует найденную в середине июня уязвимость в Apache, позволяющую хакеру реализовывать DoS-атаки, используя пораженный компьютер. В═настоящее время червь умеет захватывать компьютеры, работающие под управлением FreeBSD. Атака на Apache в версиях для других ОС может приводить к падению сервера. Червь атакует серверы с помощью двух запросов: вначале посылается простой HTTP-запрос, и если сервер возвращает строку, свидетельствующую о его уязвимости, то производится попытка ее использовать. Разработчики Apache уже опубликовали заплатку, которую рекомендуется немедленно установить.

2.═Обнаружен сетевой червь, который занимается борьбой с брандмауэрами ZoneAlarm, точнее, только с одной его моделью, а также отсылает по электронной почте ╚уведомления╩ по одному из двух адресов, возможно, принадлежащих автору червя. Эти письма содержат информацию о зараженной системе.

Червь Worm.Win32.Datom состоит из трех разных компонентов: MSVXD.EXE, MSVXD16.DLL и MSVXD32.DLL. Первый компонент, MSVXD.EXE, активизирует червя при запуске, загружая библиотеку MSVXD16.DLL. В═свою очередь, MSVXD16.DLL загружает компонент MSVXD32.DLL, который выполняет основные функции размножения.

Отыскав доступные сетевые ресурсы, червь пытается соединиться с компьютером, на котором эти ресурсы находятся. В═случае успешного соединения червь ищет доступную папку, которая может быть директорией Windows. Для этого он пытается использовать имя ╚WinNT╩, а также читает раздел ╚WinDir╩ из файла MSDOS.SYS, если такой существует. Затем червь копирует в удаленную директорию Windows все свои компоненты и настраивает═автозагрузку═файла MSVXD.EXE при старте Windows.

3.═Интернет-червь под названием Calil распространяется во вложениях электронной почты. Для размножения используются функции программы MS Outlook. Отсылаемые червем письма содержат в качестве приложения файл LILAC_WHAT_ A_WONDERFULNAME.avi.exe.
Червь меняет имя владельца зараженной системы на xEnOcrAtEs.

4.═Зарегистрированы массовые случаи заражения новыми модификациями червя Frethem. Данный червь не представляет собой ничего необычного: это почтовый вирус, рассылающийся в приложениях в виде exe-файлов. Некоторые версии червя, включая последнюю, эксплуатируют старую уязвимость Internet Explorer IFrame (поэтому могут запускаться в MS Outlook автоматически), другие активизируются, только если пользователь сам запустит файл из вложения.

В═данной версии заражение системы происходит непосредственно в момент чтения инфицированного электронного письма. Само письмо выглядит следующим образом:
Тема: Re: Your password!

Текст: ATTENTION! You can access very important information by this password DO NOT SAVE password to disk use your mind now press cancel

Вложенные файлы: decrypt-password.exe, password.txt.

Для отсылки сообщений червь использует протокол SMTP. Червь сканирует адресную книгу Windows (WAB), а также почтовые файлы .DBX и отсылает зараженные сообщения по обнаруженным адресам. В═дополнение Frethem устанавливает на компьютер утилиту скрытного удаленного администрирования, которая дает злоумышленникам возможность управлять системой и устанавливать новые версии самого червя.

В теле червя присутствуют от 10 до 50 Web-адресов. Процедура случайно выбирает один из этих сайтов и считывает оттуда указанный в коде червя файл. Данный файл содержит специальный скрипт, который обрабатывается и исполняется копией червя на зараженном компьютере. Вследствие этого червь способен скачивать обновления для себя с одного из этих сайтов.

В коде червя присутствует издевательская благодарность антивирусным компаниям за подкинутую идею и заверения, что никаких деструктивных функций червь не несет.

Вирус Frethem.k получил довольно широкое распространение и привлек большое внимание потому, что кто-то по ошибке отправил зараженное письмо в популярную антивирусную рассылку, и, кроме того, многие антивирусы на тот момент Frethem.k просто не распознавали.

╚Лаборатория Касперского╩ особо отмечает, что перед инсталляцией червь проверяет клавиатурную поддержку языков и, если установлена поддержка русского или узбекского языков, вирус сразу прекращает свою работу без каких-либо дополнительных действий. Предыдущим вирусом, ╚боявшимся╩ русского языка, был червяк MyParties.

╚Лаборатория Касперского╩ также настоятельно рекомендует установить═╚заплатку╩═для Internet Explorer, устраняющую ошибку в его системе безопасности. Это позволит защитить компьютер не только от настоящих, но и будущих червей, которые могут использовать IFRAME-брешь. Заплатку бесплатно можно загрузить по адресу:
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp.


       КОМПЬЮТЕР-ИНФОРМ 
          Главная страница || Статьи ╧ 14'2002 (29 июля - 8 сентября) || Новости СПб || Новости России || Новости мира

Анкета || Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения
О "КИ" || График выхода || Карта сайта || Подписка

Главная страница

Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл ╧ 77-4461 от 2 апреля 2021 г.
Перепечатка материалов без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.

Телефон редакции (812) 118-6666, 118-6555.
Адрес: 196084, СПб, ул. Коли Томчака, д. 9
e-mail:
Для пресс-релизов и новостей