Voz y Comunicaciones unificadas : Cisco Unified Communications Manager (CallManager)

Cisco CallManager y aplicaciones de telefonía IP de las influencias del W32.Blaster.Worm de MS Windows

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Microsoft Corporation anunció recientemente una vulnerabilidad de seguridad en su sistema operativo Windows, que permite los ataques por el W32.Blaster.Worm al Cisco Callmanager server y al Cisco Conference Connection (CCC), el Cisco Emergency Responder (CER), Cisco IP Contact Center (IPCC) expresa y las aplicaciones de PA. La vulnerabilidad de seguridad existe en una interfaz de Llamada de procedimiento remoto (RPC) del Modelo distribuido de objetos componentes (DCOM) de Windows.

Este virus puede también ser conocido como:

  • W32/Lovsan.worm (NAI)

  • Win32.Poza (CA)

  • WORM_MSBLAST.A (tendencia)

La información adicional se puede encontrar en el sitio Web de Microsoft en estas ubicaciones:

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Windows 2000 Server

  • Todas las versiones del Cisco CallManager

  • CCC, CER, IPCC expreso, ISN, y PA

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Para obtener más información sobre las convenciones del documento, consulte las Convenciones de Consejos Técnicos de Cisco.

Problema - Vulnerabilidad del RPC DCOM

Se ha descubierto una condición de desbordamiento de memoria intermedia basada en pila en la interfaz RPC de Microsoft para DCOM. Ésta es una función central del kernel de Windows y no puede ser desactivada. Puesto que esto es una función de Kernel (implementada vía el SVCHOST.EXE), los ataques exitosos dan lugar al privilegio del sistema. Ciertos mensajes especialmente elaborados enviados al puerto 135 ocasionan el desbordamiento de la memoria del búfer.

Indicios de problema

El código del exploit circula en el salvaje ejecuta el código del shell después del desbordamiento de búfer. Esto permite el Acceso Remoto a un comando shell y a un Control remoto completo, privilegiado del sistema. Usted puede ser que vea posiblemente un error en el visor de eventos en un sistema infectado.

Todas las máquinas infectadas del Windows 2000 pueden ver un error similar a esto en el visor de eventos, registro del sistema:

Event Type:     Error 

Event Source:   Service Control Manager 

Event Category: None 

Event ID:       7031 

Date:           8/11/2003 

Time:           10:10:10 PM 

User:           N/A 

Computer:       COMPUTER 

Description: 

The Remote Procedure Call (RPC) service terminated unexpectedly. 

El software afectado es:

  • Servidor Windows 2000

  • Todas las versiones del Cisco CallManager

Soluciones

Las soluciones a este problema se explican detalladamente aquí.

Si su máquina no se infecta con el virus

Complete estos pasos para evitar que el virus infecte su máquina.

  1. Si usted funciona con el Cisco CallManager con PRE-WinOSUpgrade2000-2-4, después actualice al Cisco CallManager WinOS2000-2-4 y aplique WinOS2000-2-4sr5.

    Si usted funciona con una versión del CallManager de Cisco que tenga ya WinOS2000-2-4, después actualización al Cisco CallManager WinOSUpgrade2000-2-4sr5. Además, si usted ejecuta WinOSUpgradev2000-2-3 o 2000-2-4, usted puede aplicar el solo hotfix MS03-026 para parchear este un bug.

  2. Después de que usted aplique la corrección, marque para saber si hay esta clave de registro:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 
    
    "windows auto update"="msblast.exe" 

    Si esta clave está presente, después es probable su sistema se infecta ya. Consider que funcionaba con la herramienta del virus del aguijón o el otro software de protección contra virus enumeró en si su máquina se infecta con la sección Virus.

Si su máquina se infecta con el virus

Si su máquina se infecta ya, las actualizaciones descritas anterior en este documento no quitan el virus. Realice estos pasos antes de que usted aplique la parche de Microsoft.

  1. De acuerdo con su software de protección contra virus usted necesita cualquier consigue el último archivo 4284 DAT de McAfee, que tiene las definiciones de remoción de virus o definiciones de virus de Norton las últimas, que fueron liberadas recientemente.

    Nota: El Norton se soporta solamente para la aplicación del Cisco CallManager.

    Si su sistema se infecta y no tiene el Norton o McAfee en el sistema, usted puede considerar ejecutar del soporte el aguijón v1.8.0 de la herramienta de la eliminación de virus solamenteleavingcisco.com .

  2. Actualice el Cisco CallManager a las versiones mencionadas en si su máquina no se infecta con la sección Virus. También, aseegurese todas las descargas (MS03-026) para el Cisco CallManager son de cisco.com y no del sitio de Microsoft.


Información Relacionada


Document ID: 44465