音声とユニファイド コミュニケーション : Cisco Unified Communications Manager(CallManager)

MS Windows W32.Blaster.Worm が Cisco CallManager と IP テレフォニー アプリケーションに影響を与える

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

最近 Microsoft Corporation は、Cisco CallManager サーバと Cisco Conference Connection(CCC)、Cisco Emergency Responder(CER)、Cisco IP Contact Center(IPCC)Express、および PA アプリケーションに対する W32.Blaster.Worm による攻撃を可能にする Windows オペレーティング システムのセキュリティ脆弱性を公開しました。 このセキュリティの脆弱性は、Windows Distributed Component Object Model(DCOM)の Remote Procedure Call(RPC; リモート プロシージャ コール)インターフェイス内にあります。

このウイルスはまたとして知られているかもしれません:

  • W32/Lovsan.worm (NAI)

  • Win32.Poza (CA)

  • WORM_MSBLAST.A (傾向)

その他の情報はこれらの場所のマイクロソフト社Webサイトで見つけることができます:

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Windows 2000 Server

  • すべての Cisco CallManagerバージョン

  • CCC、CER、Cisco Unified Contact Center Express、ISN および PA

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

問題- DCOM RPC 脆弱性

DCOM の Microsoft RPC インターフェイスに、スタックベースのバッファ オーバーフロー条件が発見されました。 これは Windows カーネルのコア機能であり、無効にできません。 これがカーネル機能(SVCHOST.EXE によって設定される)であるので、不正侵入の成功はシステム 特権という結果に終ります。 ポート 135 に送信される巧妙なメッセージにより、このバッファ オーバーフローが不正利用されます。

問題の症状

エクスプロイト コードはバッファオーバーフローの後で野生で実行しますシェル コードを循環します。 これはコマンドシェルにリモートアクセスおよびシステムの完全な、特権遠隔制御装置を可能にします。 可能性のある 感染した システムのイベント ビューアのエラーを見るかもしれません。

すべての感染させた Windows 2000 マシンはシステムログ イベント ビューアでこれと同じようなエラーを見る場合があります:

Event Type:     Error 

Event Source:   Service Control Manager 

Event Category: None 

Event ID:       7031 

Date:           8/11/2003 

Time:           10:10:10 PM 

User:           N/A 

Computer:       COMPUTER 

Description: 

The Remote Procedure Call (RPC) service terminated unexpectedly. 

影響を受けるソフトウェアは次のとおりです:

  • Windows サーバ 2000 年

  • Cisco Unified CallManager のすべてのバージョン

解決策

この問題へのソリューションはここに詳しく説明されます。

マシンがウイルスに感染しなければ

ウイルスがマシンを感染させることを防ぐためにこれらのステップを完了して下さい。

  1. PRE-WinOSUpgrade2000-2-4 と Cisco Unified CallManager を実行する場合、Cisco Unified CallManager WinOS2000-2-4 にアップグレードし、WinOS2000-2-4sr5 を適用して下さい。

    既に WinOS2000-2-4 があっている Cisco CallManagerバージョンを実行すれば、Cisco Unified CallManager WinOSUpgrade2000-2-4sr5 へのアップグレード。 WinOSUpgradev2000-2-3 か 2000-2-4 を実行すればさらに、この 1 不具合を修正するために単一 ホットフィックス MS03-026 を加えることができます。

  2. パッチを加えた後、このレジストリキーがあるように確認して下さい:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 
    
    "windows auto update"="msblast.exe" 

    このキーがある場合、それは本当らしいですシステム既に感染しています。 スティンガー ウイルス ツールを実行する Consider か If Your Machine IS Infected with the Virus セクションにリストされている他のウイルス ソフトウェア。

マシンがウイルスに感染すれば

マシンが既に感染している場合、この資料に先に説明があるアップグレードはウイルスを取除きません。 マイクロソフトのパッチを加える前にこれらのステップを実行して下さい。

  1. ウイルス ソフトウェアに基づいて最近リリースされた、か Norton でウイルス削除定義が最新のウイルス定義あるどちらかを得ます McAfee で最新の DAT ファイル 4284 を必要とします。

    注: Norton は Cisco Unified CallManager アプリケーションのためにだけサポートされます。

    システムは感染し、システムの Norton か McAfee がない場合、単独で立場ウイルス削除ツール スティンガー v1.8.0 を実行することを考えることができますleavingcisco.com

  2. If Your Machine is NOT Infected with the Virus セクションで述べられるリリースに Cisco Unified CallManager をアップグレードして下さい。 また Cisco Unified CallManager のためのすべての(MS03-026)で cisco.com およびない Microsoft のサイトからダウンロードことをであって下さい、確かめて下さい。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 44465