Уязвимость выполнения удаленного кода в NetBIOS из-за состояния гонки, которое возникает в службах сессий NetBT при некорректном соблюдении определенных требований к последовательности
Описание
Эта уязвимость возникает, когда NetBT не соблюдает определенные требования к последовательности. Злоумышленник может отправить специально сформированные пакеты службы сеансов NetBT на уязвимую систему. Успешная эксплуатация уязвимости позволяет злоумышленнику выполнять произвольный код на целевой системе.
Условия эксплуатации
Злоумышленник должен иметь возможность отправлять специально сформированные пакеты службы сеансов NetBT на уязвимую систему.
Решение
Обновление безопасности исправляет уязвимость, корректируя способ, которым NetBT обрабатывает определенные операции.
Способы защиты
Блокировка TCP-порта 139 на фаерволе
Этот порт используется для инициации соединения с затронутым компонентом. Блокировка TCP-порта 139 на фаерволе поможет защитить системы, находящиеся за этим фаерволом, от попыток эксплуатации данной уязвимости. Microsoft рекомендует блокировать все непрошенные входящие соединения из Интернета, чтобы предотвратить атаки, которые могут использовать другие порты. Дополнительную информацию о портах можно найти в статье TechNet TCP и UDP - Назначение портов.
Воздействие на работу после блокировки
Несколько служб Windows используют затронутый порт. Блокировка доступа к этому порту может привести к неработоспособности различных приложений и служб. Некоторые из затронутых приложений и служб приведены ниже:
- Приложения, использующие SMB (CIFS)
- Приложения, использующие именованные каналы или mailslots (RPC через SMB)
- Сервер (Общий доступ к файлам и принтерам)
- Групповая политика
- Net Logon
- Распределенная файловая система (DFS)
- Лицензирование терминального сервера
- Спулер печати
- Обозреватель компьютеров
- Локатор удаленных процедур
- Служба факсов
- Служба индексирования
- Журналы производительности и оповещения
- Сервер управления системами
- Служба ведения журнала лицензий
Как отменить блокировку
Разблокируйте TCP-порт 139 на фаерволе. Дополнительную информацию о портах можно найти здесь: TCP и UDP - Назначение портов.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Windows 7 for 32-bit Systems Service Pack 1 | ||
| Windows 7 for x64-based Systems Service Pack 1 | ||
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) | ||
| Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1 | ||
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 | ||
| Windows Server 2012 | ||
| Windows Server 2012 (Server Core installation) | ||
| Windows 8.1 for 32-bit systems | ||
| Windows 8.1 for x64-based systems | ||
| Windows Server 2012 R2 |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
EPSS
8.1 High
CVSS3
Связанные уязвимости
The Windows NetBT Session Services component on Microsoft Windows Server 2008 R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012 Gold and R2, Windows RT 8.1, Windows 10 Gold, 1511, 1607, and 1703, and Windows Server 2016 allows a remote code execution vulnerability when it fails to maintain certain sequencing requirements, aka "NetBIOS Remote Code Execution Vulnerability".
The Windows NetBT Session Services component on Microsoft Windows Server 2008 R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012 Gold and R2, Windows RT 8.1, Windows 10 Gold, 1511, 1607, and 1703, and Windows Server 2016 allows a remote code execution vulnerability when it fails to maintain certain sequencing requirements, aka "NetBIOS Remote Code Execution Vulnerability".
EPSS
8.1 High
CVSS3