Голосовая связь и система унифицированных коммуникаций : Cisco Unified Communications Manager (CallManager)

Червь MS Windows W32.Blaster.Worm воздействует на Cisco CallManager и приложения IP-телефонии

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв


Содержание


Введение

Microsoft Corporation недавно объявил об уязвимости безопасности в своей операционной системе (ах) Windows, которая позволяет атаки W32. Blaster. Червь к Cisco CallManager server и Cisco Conference Connection (CCC), Cisco Emergency Responder (CER), Cisco IP Contact Center (IPCC) Экспресс и приложения PA. Эта уязвимость безопасности находится в интерфейсе вызова удаленной процедуры (RPC) объектной модели распределенных компонентов (DCOM) Windows.

Этот вирус может также быть известен как:

  • W32/Lovsan.worm (NAI)

  • Win32. Poza (CA)

  • WORM_MSBLAST.A (Тенденция)

Дополнительные сведения могут быть найдены на Веб-узле Microsoft в этих местоположениях:

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Windows 2000 Server

  • Все Версии Cisco CallManager

  • CCC, CER, IPCC Express, ISN и PA

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Проблема - уязвимость DCOM RPC

Обнаружено условие переполнения стекового буфера было в интерфейсе Microsoft RPC для DCOM. Это центральная функция ядра Windows, и она не может быть отключена. Так как это - функция ядра (внедренный через SVCHOST.EXE), результат успешных атак в Системной привилегии. Специальные сообщения, отправляемые на порт 135, используют переполнение буфера.

Признаки проблемы

Эксплоитный код циркулирует в дикой местности, выполняет код оболочки после переполнения буфера. Это предоставляет удаленный доступ к интерпретатору комманд и завершенному, привилегированному дистанционному управлению системой. Вы могли бы возможно видеть ошибку в конечном счете Средство просмотра на зараженной системе.

Все заразили машины Windows 2000, видят ошибку, подобную этому в конечном счете Средство просмотра, Системный журнал:

Event Type:     Error 

Event Source:   Service Control Manager 

Event Category: None 

Event ID:       7031 

Date:           8/11/2003 

Time:           10:10:10 PM 

User:           N/A 

Computer:       COMPUTER 

Description: 

The Remote Procedure Call (RPC) service terminated unexpectedly. 

Программное обеспечение, на которое влияют:

  • Windows Server 2000

  • Все версии Сisco CallManager

Решения

Решения этой проблемы объяснены подробно здесь.

Если Машина НЕ Заражена Вирусом

Выполните эти шаги, чтобы препятствовать тому, чтобы вирус заразил машину.

  1. Если вы выполняете Сisco CallManager с PRE-WinOSUpgrade2000-2-4, то обновляете к Сisco CallManager WinOS2000-2-4 и применяете WinOS2000-2-4sr5.

    Если вы выполняете Версию Cisco CallManager, которая уже имеет WinOS2000-2-4, то обновите к Сisco CallManager WinOSUpgrade2000-2-4sr5. Кроме того, при выполнении WinOSUpgradev2000-2-3 или 04.02.2000 можно применить одиночный MS03-026 заплаты для внесения исправлений этого дефекта.

  2. После применения исправления проверьте для этого ключа реестра:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 
    
    "windows auto update"="msblast.exe" 

    Если этот ключ присутствует, то это - вероятно, система, уже заражен. Считайте выполнение программного средства вируса Stinger или другой вирусной программы перечисленным в Если Машина IS Зараженный Разделом вирусов.

Если машина IS, зараженный вирусом

Если машина уже заражена, обновления, описанные ранее в этом документе, не удаляют вирус. Выполните эти шаги перед применением Исправления от Microsoft.

  1. На основе вирусной программы необходимо или получить последний файл 4284 DAT McAfee, который имеет определения для удаления вируса или свежие описания вирусов Norton, которые были недавно освобождены.

    Примечание: Norton только поддерживается для приложения Сisco CallManager.

    Если система заражена и не имеет Norton или McAfee в системе, можно рассмотреть выполнение одинокого v1 8.0 Stinger программного средства удаления вируса leavingcisco.com.

  2. Обновите Сisco CallManager к версиям, упомянутым в, Если Машина НЕ Заражена Разделом вирусов. Кроме того, удостоверьтесь, что все загрузки (MS03-026) для Сisco CallManager от cisco.com и не сайта Microsoft.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения