Компания Microsoft обнародовала 13 апреля 2004 г. следующие уязвимости в своих продуктах:

• MS04-011 - Security Update for Microsoft Windows (835732)
  Детальную информацию см.: http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
• MS04-012 - Cumulative Update for Microsoft RPC/DCOM (828741)
  Детальную информацию см.: http://www.microsoft.com/technet/security/bulletin/ms04-012.mspx
• MS04-013 - Cumulative Security Update for Outlook Expss (837009)
  Детальную информацию см.: http://www.microsoft.com/technet/security/bulletin/ms04-013.mspx
• MS04-014 - Vulnerability in the Microsoft Jet Database Engine Could Allow Code Execution (837001)
  Детальную информацию см.: http://www.microsoft.com/technet/security/bulletin/ms04-014.mspx

Эти четыре документа описывают в общей сложности более 20 уязвимостей. Диапазон систем, подверженных этим уязвимостям, простирается от  Microsoft Outlook Express до операционных систем Windows. Злоумышленники, используя наиболее серьезные из вышеперечисленных уязвимостей, могут получить полный контроль над системами, включая установку программ, просмотр, изменение и обновление данных или создание учетных записей с административными привилегиями.

Все уязвимости были изучены специалистами McAfee AVERT (Anti-virus and Vulnerability Emergency Response Team) - подразделения корпорации Network Associates. Всем пользователям продуктов семейства McAfee Security рекомендуется незамедлительно установить обновления и заплатки от Microsoft, а также следовать инструкциям по защите своих систем средствами ниже перечисленных продуктов McAfee.

McAfee DAT-файлы

Версия DAT 4351 включает в себя описания признаков всех угроз, описанных в документах MS04-011 (CAN-2003-0907) и MS04-013 (837009), и определяет их как Exploit-MhtRedir.gen (MS04-011) и Exploit-HelpInject (MS04-013). Для обнаружения Exploit-HelpInject необходимо включить эвристическую проверку для скриптов и макросов.

McAfee Desktop Firewall

Для защиты от уязвимостей, описанных в документах MS04-012 (CAN-2003-0813, CAN-2004-0116, CAN-2003-0807), пользователям необходимо создать следующие правила:

• Блокировать порты TCP 135, 139, 445, 593
• Блокировать порты UDP 135, 137, 138, 445
• Блокировать весь неразрешенный входящий трафик по портам с номерами, большими чем 1024
• Блокировать любые другие специфически сконфигурированные RPC-порты
• Блокировать сервисы COM Internet Services (CIS) или RPC over HTTP (использует порты 80 и 443)

Для защиты от уязвимостей, описанных в документе MS04-011, пользователям необходимо создать следующие правила:

• CAN-2003-0533 - блокировать порты UDP 135, 137, 138, 139, 445 и порты TCP 138, 139, 445, 593
• CAN-2003-0663 - блокировать порты LDAP TCP 389, 636, 3368 и 3369
• CAN-2004-0117 - блокировать порты TCP 1720 и 1503 (входящий и исходящие трафик)
• CAN-2004-0120 - блокировать порты 443 и 636

McAfee Entercept

Защита от переполнения буфера, поддерживаемая Entercept, позволяет свести на нет следующие уязвимости:

• MS04-012 CAN-2003-0813
• MS04-011 CAN-2003-0533
• MS04-011 CAN-2003-0719
• MS04-011 CAN-2003-0806
• MS04-011 CAN-2003-0906
• MS04-011 CAN-2004-0117
• MS04-011 CAN-2004-0119
• MS04-011 CAN-2004-0123
• MS04-014

McAfee Intrushield

McAfee IntruShield препятствует атакам, использующим уязвимости, описанные в документах MS04-011 и MS04-012. Обновленные сигнатуры включены в наборы версий 1.5.37 и 1.8.25. Сенсоры McAfee IntruShield, установленные в режиме "in-line", могут быть настроены на  удаление (dropping) пакетов, присущих атакам на описанные уязвимости. Это позволит предотвратить подобные атаки.

Sniffer Technologies

Дополнительные фильтры, созданные для сетевых анализаторов Sniffer Distributed, Sniffer Portable и Netasyst, позволяют сетевым администраторам получать предупреждения о наличии в сети трафика, присущего описанным уязвимостям и потенциальным брешам.

• MS04-011 Sniffer Filters.zip
• MS04-012 Sniffer Filters.zip

McAfee Security Threatscan

Пользователи McAfee Threatscan должны обновить сигнатуры и для сервера, и для агента, что обеспечит защиту от уязвимостей, описанных в документах MS04-011, MS04-012, MS04-013 и MS04-014. Убедитесь, что все инсталляции ThreatScan обновлены до текущей версии (2004-04-13).

• Threatscan 2.5 - ftp.nai.com/pub/security/tsc25/updates/winnt
• Threatscan 2.0/2.1 - ftp.nai.com/pub/security/tsc20/updates/winnt

О Network Associates Inc.

Network Associates - мировой лидер на рынке компьютерной безопасности и обслуживания сетей. Штаб-квартира корпорации Network Associates расположена в Санта-Кларе, Калифорния (США). Биржевой символ: NET (NYSE). Network Associates предлагает три линейки продуктов:

• McAfee System Protection Solutions - комплексная защита компьютерных систем от вирусов, потенциально опасного исполняемого кода и сетевых угроз;
• McAfee Network Protection Solutions – системы мониторинга и обеспечения производительности корпоративных сетей, а также защиты от вторжений;
• Magic Service Desk - средства организации центров технической поддержки и управления IT-инфраструктурой.

Ведущими торговыми марками Network Associates являются McAfee, Sniffer и Magic.

Об Associates

Компания Associates специализируется на поставках широкого спектра передовых решений и услуг в области информационной безопасности и обслуживания корпоративных сетей на рынок России и стран СНГ. Компания Associates имеет статус Network Associates Authorized Partner и, благодаря наличию в штате высококвалифицированных специалистов, прошедших обучение за рубежом и сертифицированных Network Associates, предоставляет своим заказчикам полный спектр услуг, включающих авторизованную техническую поддержку на территории России и СНГ, консалтинг, авторизованное обучение технического персонала заказчика, а также выполняет любые виды работ по внедрению и сопровождению программных решений Network Associates Inc.

Вернуться в архив новостей