[Chinese]针对MS08-067,你准备好了吗?
针对这次紧急的MS08-067, 我们在周五一早,就开始向管理层汇报,并动员了所有的安全团队和服务器、应用运行团队的服务器管理员:
1 在周末对Windows服务器打MS08-067补丁
2 另外,紧急更新了全球所有的病毒服务器代码,保证可以查杀相关蠕虫
3 加入了新的LANDesk对客户端的补丁auto-fix分发
4 重新检测全球所有的防火墙系统,内网隔离系统,确保封锁135/139/445端口
5 启动紧急响应流程,要求SOC保证监视和通知,相关人员保持24小时可联系。
至今,非常感谢各个团队的理解和辛苦工作,艰苦努力,进展良好。接下来的一周非常关键,我们还需努力。也祝各位同行同仁都能顺利过关。
Symantec 在今天2008-11-03公布的监测的病毒列表中,新增了w32.wecorl, w32.kernelbot.A两种通过ms08-067传播的病毒。这两种病毒都会通过扫描tcp 139端口,在局域网内传播,继续保持警惕!
http://www.4shell.org/archives/524.html
通常在溢出成功后目标主机的监听端口为4444,其对应的PID为840(随机)。毫无疑问它应该和某个系统服务相对应,输入tasklist /svc后发现其对于的进程是svchost.exe。该进程在系统中有多个,但PID为840的这个svchost.exe进程是一个宿主进程,其中包含了诸如lanmanserver, lanmanworkstation, Netman等多个系统服务。
那到底是哪个系统服务触发了该漏洞呢?测试,当Computer Browser、Server、Workstation这三个系统服务中的任何一个服务被关闭后,用MS08067.exe进行溢出测试均失败
通过上面的测试,可见是这三个系统服务造成了MS08-067漏洞,这和微软的漏洞说明“Server服务在处理RPC请求过程中存在的一个严重漏洞”不谋而合。那么这三个服务都是干什么的,相互之间有什么关系呢?server是Windows系统的一个重要服务,其主要作用是“支持此计算机通过网络的文件、打印、和命名”。而
Computer Browser服务的作用是“维护网络上计算机的更新列表,并将列表提供该计算机指定浏览”与server是依存关系。另外,Workstation服务的作用是“创建和维护到远程服务的客户端网络连接”,与Computer Browser是依存关系。上面的分析为我们预防MS08-067漏洞提供了一条思路。
漏洞预防
(1)、最彻底的措施是,通过第三方工具下载KB958644补丁包打上该漏洞补丁。
(2)、如果用户对微软的补丁存有戒心可以采取变通的措施,将Computer Browser、Server、Workstation这三个系统服务关闭,毕竟这三个服务在大多数情况下是用不到的。
今天和几位同行朋友聊了一下,有移动的朋友,有大型证交所的朋友,还有其他的大型企业,至今似乎还没有看到明显的MS08-067蠕虫的杀伤力。我这边的Daily update看进展也比较顺利。不管怎么说,大型企业的安全都是统计意义上的安全,不对吗?
老大哥了,呵呵
呵呵,我是物理系87级的。
收到
呵呵,你哪一界的?
我是准备再过去学点东西
http://www.antiy.com/cn/security/2008/MS08067.htm
MS08-067漏洞预警通告(A级)by 安天实验室网络安全研究与应急处理中心(Antiy CERT)
到目前为止,利用程序已经在互联网上大规模扩散开来,所有没有打过补丁的Windows服务器和工作站,如果没有打开防火墙,就成为“不设防”城市了。其实,在某种意义上说,微软和Windows已经成为全球经济的一个潜在的单一故障点SPOF.
让漏洞来的更多些吧…
我路过的。。
http://simonbai.blogspot.com/2008/10/ip.html
截至目前,网上已出现了利用该漏洞的蠕虫病毒(Win32/MS08067.gen!A)。据360安全专家分析,这一漏洞的危害极为严重,黑客仅根据IP地址便可随意发起攻击,简直是”指哪打哪”,而且感染性非常强,只要远程执行一段下载恶意程序的代码,不但能随意弹出广告、盗取用户账号,还可以控制本机进而攻击其他用户,使破坏力持续放大,局域网的用户一旦有一个中招病毒就会迅速扩散。
据悉,这是微软近一年半以来首次打破每月定期安全公告的惯例而发布更新。目前唯一的解决方案便是为系统打好KB958644补丁。
点击下面链接,详细了解该漏洞的技术内幕。
http://www.microsoft.com/china/technet/security/bulletin/MS08-067.mspx
PS:昨夜Kevin不幸中招,我俩折腾了一晚上,直到早晨8点多,才恢复正常。
中招后的具体表现为:无法访问网络,网络连接图标全部消失,木马导致RPC服务被禁用,运行MSCONFIG后,所有属性都是灰色,根本无法修改设置,禁用粘贴拷贝,杀毒软件被禁用。查杀木马能看到system.exe病毒,以及一些sys为后缀的木马和大量的盗号木马。system32文件夹下的rpcss.dll文件被篡改,一般可能篡改为srpcss.dll。
解决办法:利用360等软件在安全模式下全面查杀病毒和木马,修复IE选项,修复注册表,然后找一台其他未感染的机器,拷贝rpcss.dll文件,粘贴到system32文件夹下。重启机器后马上打补丁KB958644,详细地址为:http://www.microsoft.com/downloads/details.aspx?familyid=0D5F9B6E-9265-44B9-A376-2067B73D6A03&displaylang=en
其实,每次安全紧急事件,也都是安全团队的一次机会, show time,show work, show value。不要让你和你的团队掉队!呵呵