راهنمای امنيتی:

وجود شکاف امنيتی در سرويس WorkStation

(Windows XP,2000,…)

تاريخ: 11/11/2003

منبع: CERT/CC

منبع اصلی: eEye Digital Security

شماره CVE: CAN-2003-0812.

سيستمهای تحت تاثير:

• Microsoft Windows 2000 Service Pack 2, Service Pack 3, Service Pack 4
• Microsoft Windows XP
• Microsoft Windows XP Service Pack 1
• Microsoft Windows XP 64-Bit Edition

چکيده

وجود يک شکاف امنيتی در سرويس WorkStation ويندوز (WKSSVC.DLL) .

اين شکاف امنيتی به  نفوذگر اين اجازه را ميدهد که با استفاده از تکنيک سرريز حافظه به اجرای کد مورد نظر خود بر روی کامپيوتر بپردازد يا سرويسهايی ازان را از کار بياندازد (انجام حمله جلوگيری از ارائه خدمت)

توضيح

اين شکاف امنيتی در بخش مربوط به مديريت شبکه سرويس DCE/RPC ويندوز در داخل روتين لاگر مربوط به اين سرويسها يافت شده است. تعداد زيادی از روتينهای موجود در سرويس RPC روتين VSPrintf()  را که در اين سرويس جهت ذخيره سازی لاگها به کار ميرود را صدا ميزنند. VSPrintf هيچ نوع چکی را بر روی طول ورودی اعمال نميکند.

با ارسال يک رشته طولانی به يکی ازين روتينها ميتوان ماشين مورد نظر را از کار انداخت يا قطعه کدی را بر روی آن اجرا کرد.

تاثيرات

• نفوذگر ميتواند کد مورد نظر خود را با اختيارات مدير سيستم بر روی ماشين مورد نظر اجرا کند.

راه حل

• اعمال Patch ارائه شده توسط ميکروسافت در بولتن امنيتی MS03-049
• در صورت عدم انجام قسمت قبل ميتوانيد دسترسی از خارج را به پورتهای 138، 139 و 445 ماشين خود محدود کنيد. البته اين روش به شرطی موثر است که حمله از داخل شبکه شما صورت نپذيرد.
• از کار انداختن سرويس Workstation

اين راه حل بيشتر مناسب کاربران خانگی است که کامپيوتر آنها به شبکه ای متصل نيست، زيرا از کار انداختن اين سرويس موجب از کار افتادن خدمات زير ميشود:

·         Alerter 

·         Browser

·         Messenger

·         Net Logon

·         RPC Locator

مشخصا با از کار افتادن اين سرويس دسترسی به منابع شبکه ای ممکن نيست.

نکته

 کاربران Dialup و DSL خانگی ميتوانند بدون مشکل در صورت عدم دسترسی به وصله امنيتی مربوطه اين سرويس را از کار بياندازند.