.dsy:it. - [Security] RPC Exlpoit

.dsy:it. (http://www.dsy.it/forum/)
- Forum De Bell Tolls (http://www.dsy.it/forum/forumdisplay.php?forumid=7)
-- [Security] RPC Exlpoit (http://www.dsy.it/forum/showthread.php?threadid=5273)

Posted by nous on 13-08-2003 15:47:

[Security] RPC Exlpoit

Gira recentemente un exploit del servizio RPC di windows in grado di forzare il sistema operativo a riavviarsi facendogli mancare una applicazione fondamentale all'improvviso. Dall'esterno viene inviata una particolare stringa al Remote Procedure Call sul vostro pc attraverso la porta giusta, ed ecco che tale servizio si ritrova in buffer overflow, crasha e il PC dopo 60 secondi, irrimediabilmente, si riavvia. Il sistema operativo maggiormente afflitto dal problema è Windows XP.

Recentemente questo exploit si è diffuso, tanto che nelle ultime sere parecchi utenti si ritrovano vittime di questo attacco inviato su vasta scala per tutta la rete telecom, trovandosi quasi impossibilitati ad usare un pc che viene riavviato dall'esterno ogni 5 - 10 minuti circa.

Microsoft ha rilasciato una patch che corregge questo problema e impedisce che il vostro pc possa essere exploitato. Di seguito posterò il link alla pagina di download della patch microsoft sopracitata.

http://www.microsoft.com/technet/tr...in/MS03-026.asp
Ricoardatevi di scaricare la versione localizzata nella lingua di installazione del vostro sistema, oppure potreste avere problemi ad eseguire la patch.

Molto probabilmente se avete questo problema avete anche il virus "MSBLAST" sul pc, dato che è un elemento fondamentale per l'interazione con il servizio RPC.
Questo è il Removal Tool rilasciato dalla Symantec. Scaricatelo ed eseguitelo (meglio eseguirlo col pc avviato in "modalità provvisoria", se siete capaci). http://securityresponse.symantec.co...er/FixBlast.exe

Questa invece è la pagina della Symantec relativa al Removal Tool (viene spiegato anche passo passo come abilitare la modalita provvisoria e come usare il tool, per gli utenti meno esperti): http://securityresponse.symantec.co...moval.tool.html

__________________
Cristian,il Nous che invoglia ^_^

"La capa è troppo in la,e la sbarba è troppo giovane..mi sa che qua si va in bianco"
Ryo Saeba (City Hunter)

Posted by fozzy on 13-08-2003 15:52:

gia preso cmq grazie per le info..

__________________
I sense much NT in you, NT leads to Blue Screens,
Blue Screens lead to downtime, downtime leads to suffering.

NT is the path to the Dark Side....

Posted by nous on 13-08-2003 15:56:

Già preso il blast,l'exploit o la patch ?

__________________
Cristian,il Nous che invoglia ^_^

"La capa è troppo in la,e la sbarba è troppo giovane..mi sa che qua si va in bianco"
Ryo Saeba (City Hunter)

Posted by recoil on 13-08-2003 17:15:

M$ dice che il problema riguarda tutta la famiglia NT ma io non ho avuto rogne (ho il 2000).
in ogni caso basta avere un firewall per stare tranquilli ma la patch l'ho messa anche io, non si sa mai

__________________
Sono sempre alla ricerca di curriculum interessanti da segnalare alle società con cui ho contatti. Info in pm

Posted by fozzy on 13-08-2003 19:34:

tutti e tre..
con il win2000 che fa da proxy...
per una serie di sfighe, coincidenze e disattenzioni era pure mezzo spalancato... mah... prim o poi troveró il tempo per collegare e configurare lo scatolotto linux.. :asd:
riuscirá mai M$ a fare qualcosa di decorosamente sicuro?

__________________
I sense much NT in you, NT leads to Blue Screens,
Blue Screens lead to downtime, downtime leads to suffering.

NT is the path to the Dark Side....

Posted by nous on 13-08-2003 19:37:

dimentichi che il DOS 3.1 era sicurissimo

__________________
Cristian,il Nous che invoglia ^_^

"La capa è troppo in la,e la sbarba è troppo giovane..mi sa che qua si va in bianco"
Ryo Saeba (City Hunter)

Posted by fabpicca on 16-08-2003 11:44:

e io , al ritorno delle vacanze ho scoperto di essermelo beccato, nonostante FW,AV e compagnia bella...ma vaff...

__________________
my website?|ubuntu linux|get Firefox|grazie Polonia |bagdad sour

"Come va che non ha le corna e le zampe di Caprone?" gli opposi. "Oh, Giuvà", mi disse il prete "adesso non si usa più.Satana è furbo". (I.Silone, Fontamara)
"Al giorno d'oggi non bisogna essere intelligenti, perchè la gente si offende" (un ubriacone)
"close your eyes / pay the price / for your paradise" (DM) "whatever you want to change/you'd better start changing it in your mind" (Transatlantic)

Posted by URANIO on 16-08-2003 11:56:

io unso ancora il win98!!

__________________
BinarySun
"L'intelligenza è una pianta che va curata continuamente.
Dovreste vedere com'è bello, il mio bonsai."
Rat-man®

Posted by REQUIEM on 16-08-2003 12:18:

a me succede a volte sto fatto...

Posted by recoil on 16-08-2003 14:42:

un consiglio veloce (che magari c'è pure nei link sopra): se vi capita il problema e avete pochi secondi prima che la macchina si riavvii aprite il prompt e scrivete "shutdown -a" in modo da fermare la procedura.

in ogni caso si dovrebbe essere a posto con un firewall, a meno di non aver lasciato passare svchost.exe (RPC è un servizio quindi lo usa) come nel mio caso.

__________________
Sono sempre alla ricerca di curriculum interessanti da segnalare alle società con cui ho contatti. Info in pm

Posted by drakend on 16-08-2003 18:15:

Io ho disinstallato la condivisione file e stampanti e poi ho bloccato le porte dalla 130 alla 140 sull'interfaccia del mio router casalingo... penso che dovrei essere a posto da tutti i rischi di sicurezza no?
(Almeno quelli relativi all'RPC)

Posted by mrcnet on 05-09-2003 21:25:

me lo sono beccato appena mi sono connesso... questo è la mia punizione per aver concesso a mia sorella di usare il pc mentre ero in vacanza.. ha disattivato il firewall e l'antivirus perche non le piacevano le icone nella barra... :evil: :evil:

__________________
www.mrcnetwork.it

Posted by nous on 05-09-2003 21:37:

Geniale
Me la presenti?Voglio l'autografo

P.s. il tuo case fa un figurone nella mia stanza

__________________
Cristian,il Nous che invoglia ^_^

"La capa è troppo in la,e la sbarba è troppo giovane..mi sa che qua si va in bianco"
Ryo Saeba (City Hunter)

Posted by mrcnet on 05-09-2003 21:44:

Originally posted by nous
Geniale
Me la presenti?Voglio l'autografo

P.s. il tuo case fa un figurone nella mia stanza

Off-Topic:
hai visto per cosa l'ho cambiato??? vedi nella modding gallerydi HWupgrade (in un certo senso ci ero affezionato)

__________________
www.mrcnetwork.it

Posted by nous on 05-09-2003 21:47:

Off-Topic:

Non bazzico più HWUpgrade da quando mi han fregato...mobo e CPU non funzionanti,pagati con soldi buoni....vabbè...

__________________
Cristian,il Nous che invoglia ^_^

"La capa è troppo in la,e la sbarba è troppo giovane..mi sa che qua si va in bianco"
Ryo Saeba (City Hunter)

All times are GMT. The time now is 05:37.

Show all 15 posts from this thread on one page