Описание:
Уязвимость в сервере сообщений была обнаружена еще 16 октября. Если послать кривой пакет, то выполнится любой код с правами администратора. В этот же день был выложен специальный сканер уязвимости. Если операционка не пропатчена, то он отсылает соответствующее сообщение администратору системы. Эксплоит для этой уязвимости не выкладывался целый месяц. Только 15 ноября вышла первая версия сорсов и бинарников для Windows-платформ. Программы содержали в себе два рабочих таргета для Windows 2000 и Windows XP SP1.
Защита:
Служба Messenger – важный сервис, и его нельзя отключать. Сервис используется для передачи системных сообщений администратору и пользователям от других сервисов (например, от службы, работающей с UPS). Защититься от уязвимости можно двумя способами: установить специальный патч от мелкомягких (www.microsoft.com/downloads/details.aspx?FamilyId=F02DA309-4B0A-4438-A0B9-5B67414C3833&displaylang=en) либо фильтровать 135 порт. Думаю, после нашумевших RPC-уязвимостей, большинство форточников все-таки поставили себе фаервол.
Ссылки:
Скачать прекомпиленный эксплоит можно по адресу www.securitylab.ru/_exploits/msgr07.exe, бинарный файл лежит тут: www.securitylab.ru/_exploits/msgr07.c.txt. Подробнее ознакомиться с уязвимостью можно на странице www.security.nnov.ru/search/document.asp?docid=5250. Сканер уязвимости выложен на этом же сайте (www.security.nnov.ru/files/scanmsgr.exe).
