Читаем Защити свой компьютер на 100% от вирусов и хакеров полностью

Открыт 135-й UDP-порт, который принадлежит сервису Microsoft RPC (Remote Procedure Call – удаленное выполнение команд). Это уже не просто открытый порт, а серьезная уязвимость, обозначенная в бюллетене безопасности Microsoft под кодовым номером ms03-04 3. Вот как описывается данная уязвимость: "Переполнение буфера обнаружено в Messenger Service в Microsoft Windows. Удаленный атакующий может выполнить произвольный код на уязвимой системе. Проблема связана с тем, что Messenger Service не проверяет длину сообщения. В результате злонамеренный пользователь может послать сообщение, которое переполнит буфер и выполнит произвольный код на уязвимой системе с привилегиями SYSTEM".

Говоря простым языком, сформированное особым образом сообщение, переданное с помощью обычной команды net send, может привести к запуску на машине жертвы любого программного кода.

Есть ли в данном случае выход? Конечно же, есть! Первое, что надо сделать, – это отключить службу DCOM, если она действительно не нужна, и обязательно установить пакет обновлений Microsoft: http://www.microsoft.com/technet/security/buLLetin/ MS03-043.asp. Подробнее о данной уязвимости можно узнать по адресу: cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0717.

Открытый 139-й порт – запущен сервис NetBios (Network Basic Input/Output System). "Ну, это просто классика", – скажут искушенные охотники, и они будут правы. Действительно, какой из портов расскажет о вашей машине столько, сколько 139? Список ресурсов, список активных сессий и многое другое, доступное через нулевую сессию: доступ по нулевой сессии представляет собой возможность неавторизованного подключения к хосту с операционной системой, основанной на Windows NT (или операционной системой семейства UNIX с установленным пакетом Samba) с пустым логином и паролем. При включенной нулевой сессии анонимный пользователь может получить большое количество информации о конфигурации системы (список ресурсов, открытых для общего пользования, список пользователей, список рабочих групп и т. д.). Полученная информация в дальнейшем может быть использована для попыток несанкционированного доступа.

В бюллетенях безопасности Microsoft уязвимость, связанная с открытым 139-м портом, описывается кодовым номером ms04-007. Описание уязвимости звучит так: "Переполнение буфера обнаружено в Microsoft ASN.1 Library (msasn1.dll) в процессе ASN.1 BER-декодирования. Уязвимость может эксплуатироваться через различные службы (Kerberos, NTLMv2) и приложения, использующие сертификаты. Удаленный пользователь может послать специально обработанные ASN.1 данные к службе или приложению, чтобы выполнить произвольный код с SYSTEM-привилегиями".

Есть ли выход? Конечно, есть. Прежде всего необходимо установить обновление: http://www.microsoft.com/technet/security/buLLetin/MS04-011.mspx.

Кроме того, следует отключить доступ по нулевой сессии. Для этого:

в разделе реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Control\LSA нужно установить значение параметра RestrictAnonymous равным 2 для Windows 2000/XP/2003 (1 для Windows NT3.5/NT4.0) (тип параметра – REG_DWORD);

для Windows 2000/XP/2003 в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\lanmanserver необходимо установить значение параметра RestrictNullSessionAccess равным 1 (тип параметра – REG_DWORD);

для Windows NT3.5/NT4.0 в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\LanManServer\Parameters необходимо установить значение параметра RestrictNullSessAccess равным 1 (тип параметра – REG_DWORD).

Едем дальше. Следующим в нашем списке оказывается открытый 445-й порт, который принадлежит службе Microsoft Directory Service. Не грех будет вспомнить, что именно 445-й – один из портов, через который в свое время активно "щемился" нашумевший червяк MS Blast. При отсутствии соответствующих заплаток 445-й порт, без преувеличения, – настоящая дыра всех времен и народов. Следующие уязвимости и варианты их реализации есть яркое подтверждение вышесказанному: "Удаленное выполнение команд ms05-027, ms05-043". Объект, который значится в бюллетене под кодовым именем ms0 5-02 7, имеет следующее описание со всеми вытекающими отсюда последствиями: "Уязвимость в службе Print Spooler позволяет удаленному пользователю выполнить произвольный код на целевой системе".