CVE-2008-4250

Суть уязвимости

CVE-2008-4250 (MS08-067) — это критическая уязвимость в службе Server (lanmanserver), связанная с переполнением буфера в стеке. Проблема возникает при обработке специально сформированных RPC-запросов на удаленный вызов процедур, когда функция NetAPI32.dll некорректно выполняет канонизацию путей (path canonicalization). Злоумышленник может отправить анонимный сетевой пакет, что приведет к удаленному выполнению произвольного кода (RCE) с правами системы (SYSTEM). Данная уязвимость активно использовалась червем Conficker.

Как исправить

Основным способом устранения является установка официального обновления безопасности от Microsoft (MS08-067).

1. Определите версию операционной системы и скачайте соответствующий патч из каталога обновлений Microsoft.
2. Установите обновление в ручном или автоматическом режиме (через WSUS).
3. Перезагрузите систему для завершения процесса замены уязвимых библиотек.

Для автоматической установки через командную строку используйте:

WindowsXP-KB958644-x86-ENU.exe /quiet /norestart

Временные меры

Если немедленная установка патча невозможна, необходимо минимизировать поверхность атаки следующими методами:

1. Блокировка входящего трафика на портах SMB (TCP 139 и 445) и UDP (137 и 138) на сетевом экране (Firewall) для всех узлов, кроме доверенных контроллеров домена.

netsh advfirewall firewall add rule name="Block_SMB_In" dir=in action=block protocol=TCP localport=445

1. Отключение службы Server (LanmanServer), если функционал общего доступа к файлам и принтерам не требуется на данном узле.

sc stop lanmanserver

sc config lanmanserver start= disabled

1. Использование систем IPS/IDS для обнаружения и блокировки сигнатур, характерных для эксплуатации MS08-067.

2. Изоляция устаревших систем (Windows 2000, XP, Server 2003) в отдельные сегменты сети (VLAN) без доступа к публичным сетям.