マイクロソフト セキュリティ情報 MS08-067 - 緊急 : Server サービスの脆弱性により、リモートでコードが実行される (958644)(情報元のブックマーク数)
マイクロソフト セキュリティ情報の事前通知 - 2008 年 10 月 (定例外)(情報元のブックマーク数) - まっちゃだいふくの日記★とれんどふりーく★でも書いた、予定されていたMicrosoftの緊急パッチリリースです。
Blasterの再来ですな・・・こりゃー怖い。
この更新プログラムは非公開で報告された Server サービスに存在する脆弱性を解決します。この脆弱性で、影響を受けるコンピューターが特別な細工がされた RPC リクエストを受け取った場合、リモートでコードが実行される可能性があります。Microsoft Windows 2000、Windows XP および Windows Server 2003 システムで、攻撃者によりこの脆弱性が悪用された場合、認証なしで任意のコードが実行される可能性があります。この脆弱性が悪用され、ワームとして悪用できるコードが作成される可能性があります。ファイアウォールによる最善策および標準のファイアウォールの既定の構成を使用することにより、組織のネットワーク境界の外部から行われる攻撃を防ぎネットワーク リソースを保護することができます。
http://www.microsoft.com/japan/technet/security/Bulletin/ms08-067.mspx
RPCリクエスト処理の絡みだそうです。
このセキュリティ更新プログラムは Server サービスが RPC リクエストを処理する方法を修正することにより、この脆弱性を解決します。
http://www.microsoft.com/japan/technet/security/Bulletin/ms08-067.mspx
やっぱり、悪用と標的型攻撃で使われているそうです!!!!!!!!
このセキュリティ情報の公開時に、マイクロソフトはこの脆弱性が悪用されたという報告を受けていましたか?
http://www.microsoft.com/japan/technet/security/Bulletin/ms08-067.mspx
はい。マイクロソフトはこの脆弱性を悪用しようとする限定的な標的型攻撃を確認しています。しかし、マイクロソフトはこのセキュリティ情報が最初に公開された段階で、公開された検証用コードの例を確認していません。
緊急パッチは2007年4月が最後だったんだ・・・
非常に深刻なためにその必要性を正当化するためだ。(IDG News Serviceによると、Microsoftが最後に臨時のパッチをリリースしたのは2007年4月に遡るという。)
マイクロソフト、緊急セキュリティパッチをリリース - ZDNet Japan
小野寺さんもコメントをしていますが、既に悪用されています、ウイルスにもなっている模様!、早急にパッチです!
今回対応した脆弱性は、ファイル共有などをになっている Server Service に存在し、139/TCP, 445/TCPで不正に細工された悪意のある通信パケットを受信することで、システムを完全に掌握される可能性があります。
Windows 2000, Windows XP, Windows Server 2003の深刻度が緊急で Windows XP および Windows Server 2003 において標的型攻撃を確認しています。 Windows Vista, Windows Server 2008 については、深刻度は重要で、悪用も比較的困難であると分析しています。http://blogs.technet.com/jpsecurity/archive/2008/10/24/3141026.aspxすでに悪用も確認されていますので、可能な限り早期に適用することを推奨しています。
トロイの木馬のExploitするサンプルがあるそうです。(Sunbeltに)、SQL SlammerやCodeRedのシナリオがまた動いてしまうとか・・・早急パッチ!NOW!
– We have samples in-house of the trojans in-the-wild that are being used in targeted attacks, taking advantage of this exploit. These are currently only targeted attacks, not being used broadly by malware authors.
GFI LABS Blog: Just some comments on MS08-067
– It is not a light thing. The urgency is quite real — unpatched, you’ve got the spectre of another SQL Slammer, Code Red type of scenario if the malware writers create a worm. The other issue with this patch is that it affects a broad number of systems (XP, Windows 2000 and 2003 -- the Vista/2008 platform isn't at the same level of risk).
– It is an extraordinary event that pushes Microsoft to do an out-of-band update. This is a big deal for them — each update is tested on a vast number of machines. It underscores the potential seriousness of this vulnerability.
websenseでサンプルVirusTotalに通すと25%しか検知できないとのこと。
To date, we have seen attacks installing a Trojan (Gimmiv) upon successful exploitation. At the time of this alert, only 25% of 36 anti-virus vendors could detect this malicious code. Blocking TCP ports 139 and 445 at the firewall is only a partial solution because most desktops have file/printer sharing turned on. The out-of-band patch release by Microsoft testifies to the severity of this vulnerability and the urgency for an immediate fix.
Security Labs | Forcepoint
WebSenseがVirusTotalかけてくれていました。n2.exeという検体みたいです。
File n2.exe received on 10.23.2008 23:04:39 (CET)
http://www.virustotal.com/analisis/aa0b4951ba47a5780a4fe9d0fdf6d521
Current status: finished
Result: 9/36 (25.00%)
ってことで、McAfeeが接続先を出しています!!!ここ(hxxp://59.106.145.58)をフィルタがよさそうです。
The applications created the following network connection(s):
http://vil.nai.com/vil/content/v_152892.htm
* hxxp://59.106.145.58/**********************
\wbem\sysmgr.dll ってのを落とすそうです。
When Troj/Gimmiv-A is run, the following file is dropped:
Sophos Search
<System>\wbem\sysmgr.dll
This file is also detected as Troj/Gimmiv-A
MSでは、TrojanSpy:Win32/Gimmiv.A、TrojanSpy:Win32/Gimmiv.A.dllだそうです。
We have also have detection for the malware we found used in attacks exploiting this vulnerability (TrojanSpy:Win32/Gimmiv.A and TrojanSpy:Win32/Gimmiv.A.dll) in the signatures the MMPC is releasing today and sharing that information with our partners.
MS08-067 Released – MSRC
ってことで、合わせると。hxxp://59.106.145.58/test2.php?abc=<abc value>?def=<def value>らしいです。URLをフィルタしておきましょう!
Connects to Remote Host
http://www.microsoft.com/security/portal/Entry.aspx?name=TrojanSpy%3aWin32%2fGimmiv.A.dll
The trojan generates a URL based on the operating system and antivirus information, in the following format:
<remote IP address>/test2.php?abc=<abc value>?def=<def value>
Example:
<remote IP address>/test2.php?abc=1?def=2
感染すると%Temp%にVIBFDHBF.batというファイルを落とすそうです。
Symantec - Global Leader In Next-Generation Cyber Security | Symantec
# Filename(s) File Size File MD5 Alias 1 %Temp%\VIBFDHBF.bat 165 bytes 0xA60FD499344A08FCD741445ACD77FDA9 (not available) 2 [file and pathname of the sample #1] 397,312 bytes 0xCCBB73C5F137335FA2A49D7F79722A6C Generic Dropper [McAfee]Mal/Generic-A [Sophos]TrojanSpy:Win32/Gimmiv.A [Microsoft]
MS社内調査で2週間ほど前にマルウエアを発見したとのこと。
Microsoftセキュリティ対策センター(MSRC)のブログによれば、社内の調査で2週間ほど前に、Windows XPを標的としたマルウェア攻撃を発見。詳しく調べたところ、未知の脆弱性を突いたものであることが判明した。
MSが臨時のセキュリティパッチ公開、Windows狙いのワーム出現の恐れ - ITmedia エンタープライズ
その後の分析で、この脆弱性を悪用するとワーム作成も可能であることが分かり、次回の月例アップデートを待たずに臨時パッチをリリースするのがユーザーにとって最善だという判断をした。
Microsoftは脆弱性修正パッチ公開と併せ、セキュリティ製品「Forefront」「Microsoft OneCare」の定義ファイルも更新。この脆弱性を突いたエクスプロイトコードやマルウェアを検出できるようにした。ほかのウイルス対策ソフトメーカーにも情報を提供済みだといい、ユーザーに対してはWindowsの更新と同時にウイルス対策ソフトも更新するよう呼び掛けている。
Trendmicroが、パターンアップ-5.615.00 - まっちゃだいふくの日記★とれんどふりーく★にて対応しています。
ウイルスファイルのURL詳細が増えています。
hxxp://59.106.145.58/に、n1.exe〜n9.exeが存在する模様。
This spyware may be downloaded by exploits of a discovered zero-day vulnerability in certain Microsoft operating systems. This vulnerability is described in the MS08-67 security bulletin. It is downloaded from the following remote Web site(s):
Search - Threat Encyclopedia - Trend Micro USA
- http://{BLOCKED}.{BLOCKED}.145.58/n1.exe
- http://{BLOCKED}.{BLOCKED}.145.58/n2.exe
- http://{BLOCKED}.{BLOCKED}.145.58/n3.exe
- http://{BLOCKED}.{BLOCKED}.145.58/n4.exe
- http://{BLOCKED}.{BLOCKED}.145.58/n5.exe
- http://{BLOCKED}.{BLOCKED}.145.58/n6.exe
- http://{BLOCKED}.{BLOCKED}.145.58/n7.exe
- http://{BLOCKED}.{BLOCKED}.145.58/n8.exe
- http://{BLOCKED}.{BLOCKED}.145.58/n9.exe
F-Secureもウイルス情報出ました。abcとdefはOSバージョンとアンチウイルスソフトのバージョンみたいです。
The trojan then connects to:
- http://59.106.145.58/[...].php?abc=1?def=2
Trojan-Spy:W32/Gimmiv.A Description | F-Secure Labs
The two parameters 'abc=' and 'def=' are determined by the antivirus program and the operating system version, respectively. For example, if avp.exe is installed on an infected machine that runs Windows XP, then abc=1 and def=2.
既に攻撃用のPoCが出ています・・・・まぢっすか・・・
In vstudio command prompt:
mk.bat
next:
attach debugger to services.exe (2k) or the relevant svchost (xp/2k3/...)
net use \\IPADDRESS\IPC$ /user:user creds
die \\IPADDRESS \pipe\srvsvcIn some cases, /user:"" "", will suffice (i.e., anonymous connection)
You should get EIP -> 00 78 00 78, a stack overflow (like a guard page
violation), access violation, etc. However, in some cases, you will get
nothing.This is because it depends on the state of the stack prior to the "overflow".
http://www.milw0rm.com/exploits/6824
You need a slash on the stack prior to the input buffer.
小島先生がダウンロードしたVirusTotalをかけてくれました(どうも全部MD5が違う模様)
一応は、5.615.00ですべて対応済みですね。VirusTotal見る限り
n1.exe http://www.virustotal.com/jp/analisis/29615ff645d687e2c9e4755b02d73742
http://memo.st.ryukoku.ac.jp/archive/200810.month/9542.html
n2.exe http://www.virustotal.com/jp/analisis/0d85cbb3f9bfb690e83fe18a714e889d
n3.exe http://www.virustotal.com/jp/analisis/9d24ee0f469e680f076ff8bb5d1097d4
n4.exe http://www.virustotal.com/jp/analisis/01f53d19dd47a3a57b7ebe561a2f5857
n5.exe http://www.virustotal.com/jp/analisis/5b2ef899975505bd0b05261b399f38e4
n6.exe http://www.virustotal.com/jp/analisis/b65967aac1fcc4bdb11d1843e548730c
n7.exe http://www.virustotal.com/jp/analisis/f49a38f3bbe4859ce0e549c002932881
n8.exe http://www.virustotal.com/jp/analisis/4243e991443b65e8d8c2be8c12b05860
n9.exe http://www.virustotal.com/jp/analisis/b9da7810f1ec925f0dd6331e3168b1b5
ぶはっ!!!!Trendmicroさんが国内レンタルサーバに連絡して閉鎖してもらったそうです!www
http://memo.st.ryukoku.ac.jp/archive/200810.month/9542.htmlで小島先生がレンタルサーバ業者名を出したのが14時15分
対応が終わったのが、15時44分。。。。。セキュメモMLみて対応してたってこと?
なお、サーバが設置してあると推定される場所は、そのIPアドレスから日本国内のレンタルサーバである可能性が挙げられます。
Microsoft Server サービスの脆弱性 (MS08-067)を悪用した脅威 | トレンドマイクロ セキュリティブログ
※リージョナルトレンドラボより、該当レンタルサーバ業者へ連絡を行い、2008/10/24 15:44にウェブサイトの閉鎖についてご連絡いただいています。
2時間でPoCが出ちゃったという話。今回も早かったですねぇ。まぁウイルス既にあったしね。
米国Microsoftが10月23日の朝、Windowsの「緊急」の脆弱性について詳細を明らかにしたところ、この脆弱性を利用する実証コードがほんの数時間で登場した。
http://www.computerworld.jp/topics/ms/125131.html
この実証コードは、セキュリティ・テスト・ツール・ベンダーのImmunityの開発者が作成し、同社はMicrosoftがこの脆弱性に対応するパッチを公開した2時間後にその存在を明らかにした。このコードはImmunityの顧客だけに提供されるが、専門家は、その類似バージョンがすぐに広く出回ると予想している。
SDLでも抜けがあった。このSDLでもっともっと、同様のパッチが来月以降出るでしょうね。だって、それがSDLだから。
Microsoftは近年、莫大な資金を投入し、こうした脆弱性を根絶する取り組みを進めてきた。同社のセキュリティ・プログラム・マネジャーのマイケル・ハワード(Michael Howard)氏は、「われわれはファズ・テストを実施していたが、この脆弱性を発見できなかった。だが、これは見つけておかなければならなかいものだった」とブログで述べた。「われわれは、ファズ・テストのアルゴリズムとライブラリを改善するつもりだ」と同氏。
http://www.computerworld.jp/topics/ms/125131.html
GJ!Trendmicro
アップロードに利用されたウェブサーバは、日本国内に設置されたレンタルサーバで、攻撃を確認したトレンドマイクロではレンタルサーバ事業者へ連絡し、サイトは閉鎖されている。
【セキュリティ ニュース】MSの緊急脆弱性を狙う攻撃が発生 - すでに複数国から感染報告(1ページ目 / 全1ページ):Security NEXT
リバースエンジニアリングしたら確かにDCERPCリクエストが出ていたみたい。
On closer analysis, Spy-Agent.da.dll seeks out potentially vulnerable Windows machines in the local network, and sends maliciously crafted DCERPC requests to exploit the Server Service (SvrSvc).
McAfee Threat Center – Latest Cyberthreats | McAfee
TSPY_GIMMIV.Aは、MS08-067を悪用していなく、WORM_GIMMIV.AがMS08-067を悪用するそうです。
※当初本記事中において、「TSPY_GIMMIV.A」自体に脆弱性(MS08-067:CVE-2008-4250)を悪用するかのような表現がありましたが、リージョナルトレンドラボのその後の調査により、「TSPY_GIMMIV.A」自体に脆弱性を悪用するコードが含まれていないことを確認いたしました。
Microsoft Server サービスの脆弱性 (MS08-067)を悪用した脅威 | トレンドマイクロ セキュリティブログ
本脆弱性を悪用したワーム型不正プログラム「WORM_GIMMIV.A」の感染活動の一つとして、「TSPY_GIMMIV」がダウンロードされることを確認いたしました。
MS08-067のPoCのコードまで出ています。何が動くのかよくわからん。。。
The following exploit code will simulate the MS08-067 vulnerability and cause the Server service to fail on vulnerable Windows systems.
Vulnerability in Server Service Allows Code Execution (MS08-067, PoC)
SANSのイエローがグリーンに戻ったそうです。理由は脅威が減ったから?
まぁパッチがでて重要性が広まったからSANSの役割的にはグリーンってことか。
We have just moved back to green. This is not because of any lowering of threat, but to return to our normal steady state. People use the INFOCON level as a matter of understanding what is going on with the Internet and security as a whole.
InfoSec Handlers Diary Blog - Yellow to Green : MS08-067
一方Sunbeltではワームステージに変わったと発表。確かにWORM_GIMMIV.Aが出ていますしね。
There’s some misinformation going on out there that there is already a worm targeting MS08 067. We haven’t been able to verify this.
GFI LABS Blog: No, we're not at worm stage... (yet)
Looking at the particular trojan that blog mentioned, it seems to me to be a trojan related to the MS08 067 attacks that I took a quick look at this morning:
はやくパッチを当てようね!とのこと。
At any rate, I don’t want to de-emphasize the absolutely vital need to patch systems ASAP.
GFI LABS Blog: No, we're not at worm stage... (yet)
And, we would make an educated guess that a worm will hit soon (maybe in the next day or so).
GimmivがSQL Slammerタイプのワームのステージに移ったとのこと。
I was wrong. Earlier today I wrote that a trojan (Gimmiv) exploiting MS08-067 does not have worm characteristics.
http://sunbeltblog.blogspot.com/2008/10/red-faced.html
I was gently corrected by one of our researchers. Yes, the trojan itself isn't a worm. But I missed the behavior of a dll, a dll dropped by Gimmiv, which is a worm.
Now, that doesn't mean we're at a SQL Slammer type worm stage.
SecuriteamがMS08-067のFAQを出しています。
Microsoft Windows RPC Vulnerability MS08-067 (CVE-2008-4250) FAQ - October 2008
Microsoft Windows RPC Vulnerability MS08-067 (CVE-2008-4250) FAQ – October 2008 [UPDATED] – SecuriTeam Blogs
Snortのルールも出ているそうです。
The Sourcefire VRT is aware of a vulnerability affecting Microsoft DCERPC.
http://www.snort.org/vrt/advisories/vrt-rules-2008-10-23.html
23179 - "MSRPC Server Service BO" と 23180 - "MSRPC Server Service BO2,"というIPSにシグニチャ@Symantecが出ているそうです。
Two IPS signatures, 23179 - "MSRPC Server Service BO" and 23180 - "MSRPC Server Service BO2," as well as an AV signature for Bloodhound.Exploit.212 went out in response to the Microsoft out-of-bound patch release today.
https://forums.symantec.com/syment/blog/article?blog.id=vulnerabilities_exploits&message.id=173#M173
MS08-067の脆弱性をつくウイルスがパスワードを盗むものとして出ているそうです。
セキュリティ企業各社は2008年10月24日、公開されたばかりのWindowsの脆弱(ぜいじゃく)性を悪用するウイルス(ワーム)が出現しているとして注意を呼びかけた。感染すると別のウイルスをダウンロードされるとともに、パスワードなどを盗まれる恐れがある。
ログインしてください:日経 xTECH(クロステック)
WORM_GIMMIV.Aのことか。
例えばトレンドマイクロでは、今回の脆弱性を突いて感染を広げるウイルス(ワーム)を「WORM_GIMMIV.A(ワーム ギミブイ エー)」と命名。修正パッチを適用しておらず、なおかつファイアウオールやブロードバンドルーターを利用していないパソコンでは、ネットワークに接続するだけでWORM_GIMMIV.Aに感染する恐れがある。
ログインしてください:日経 xTECH(クロステック)
また違うのが出たのか・・・PoC
MS08-067 Exploit for CN by EMM
exploit:
http://www.milw0rm.com/exploits/6841
http://milw0rm.com/sploits/2008-MS08-067.rar
\の解析にひとつ左の\を探すロジックにバグだそうです。
セキュリティ情報サイトの「SecuriTeam」など、いくつかのサイトに掲載されている逆コンパイルリストによると、具体的にはこの脆弱性は、WindowsのシステムファイルであるNETAPI32.DLLに存在している。操作したいリモートのファイル名文字列で「\」コードの解析中に、1つ左の「\」を探すという操作を行う際にバグがあり、スタックオーバーフローを引き起こすというものだ。
マイクロソフトの緊急セキュリティパッチを確認する
ちなみにこの箇所は、Vista以降でも一部にパラメータの正確性を検証する箇所の追加や、文字列のコピー方法がwcscpy()からより安全とされるwcscpy_s()に変更されている点に違いがあるものの、Windows NT由来のほぼ全く同じコードが流用されている。
RPC over HTTPではExploitしないそうです。
http://blogs.technet.com/swi/archive/2008/10/25/most-common-questions-that-we-ve-been-asked-regarding-ms08-067.aspxCan the vulnerability be reached through RPC over HTTP?
No, the vulnerability cannot be reached through RPC over HTTP. RPC over HTTP is an end-to-end protocol that has three roles: client, proxy and server. To be clear, this is different from standard RPC, and the two protocols do not interoperate. Moreover, the only way to hit the vulnerable code is through named pipes, so the Interface security callback will drop the connection when connecting through TCP/IP.
MicrosoftはMS08-067を悪用するExploitが出たことで、セキュリティアドバイザリを出したそうです。
Microsoft has released Security Advisory 958963 to alert users that exploit code is publicly available for the Windows Server Service vulnerability addressed in Microsoft Security Bulletin MS08-067. The advisory states that this exploit code has demonstrated arbitrary code execution on Windows 2000, XP and Server 2003.
http://www.us-cert.gov/current/index.html#microsoft_releases_security_advisory_958963
Sasser(Not Wassr)だの、Blasterだの騒がれていますね
まぁ、このMicrosoftの慌て様からすると、かなり悪用とかもされてる可能性もありそうですね。
関連記事
- Microsoft Security Bulletin MS08-067 Critical: Vulnerability in Server Service Could Allow Remote Code Execution (958644)
- Microsoft issues priority patch for wormable flaw
- Update: Microsoft Preps Emergency Windows Patch - News and Analysis by PC Magazine
- Sunbelt Blog: Oh, well, yeah, it's probably time to patch
- US-CERT Current Activity
- Microsoft Windows Server Service Vulnerability - Secunia Advisories - Vulnerability Intelligence - Secunia.com
- Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability
- Emergency Microsoft Patch MS08-067 Issued, Exploit code in wild
- MS08-067 - an out-of-band Windows critical security update
- Security Vulnerability Research & Defense : More detail about MS08-067, the out-of-band netapi32.dll security update
- US-CERT Technical Cyber Security Alert TA08-297A -- Microsoft Windows Server Service RPC Vulnerability
- MS08-067についてのより多くの詳細 - インフラ管理者の独り言(はなずきん@酒好テム管理者)
- SecuriTeam™ - Vulnerability in Server Service Allows Code Execution (MS08-067)
- The Security Development Lifecycle : MS08-067 and the SDL
- Microsoft publishes great technical information:Frequency X Blog
- Malware Protection Center - Entry: Exploit:Win32/MS08067.gen!A
- MSが臨時のセキュリティパッチ公開、Windows狙いのワーム出現の恐れ - ITmedia エンタープライズ
- Symantec - Global Leader In Next-Generation Cyber Security | Symantec
- http://www.microsoft.com/security/portal/Entry.aspx?name=TrojanSpy%3aWin32%2fGimmiv.A.dll
- MS08-067 Released – MSRC
- Sophos Search
- http://vil.nai.com/vil/content/v_152892.htm
- http://www.virustotal.com/analisis/aa0b4951ba47a5780a4fe9d0fdf6d521
- Security Labs | Forcepoint
- GFI LABS Blog: Just some comments on MS08-067
- http://blogs.technet.com/jpsecurity/archive/2008/10/24/3141026.aspx
- マイクロソフト、緊急セキュリティパッチをリリース - ZDNet Japan
- http://www.microsoft.com/japan/technet/security/Bulletin/ms08-067.mspx
- Search - Threat Encyclopedia - Trend Micro USA
- ITニュース - BIGLOBEニュース
- http://www.milw0rm.com/exploits/6824
- <<< JPCERT/CC Alert 2008-10-24 >>> Microsoft Server サービスの脆弱性 (MS08-067) に関する注意喚起 Vulnerability in Microsoft Server Service
- @police-マイクロソフト社のセキュリティ修正プログラムについて(MS08-067)(10/24)
- MS08-067を悪用するウィルスと対応パターンファイル - インフラ管理者の独り言(はなずきん@酒好テム管理者)
- マイクロソフト、修正パッチ「MS08-067」を緊急リリース
- Out-of-band patch from Microsoft - F-Secure Weblog : News from the Lab
- JVNTA08-297A: Microsoft Windows Server サービスにバッファオーバーフローの脆弱性
- マイクロソフト、修正パッチ「MS08-067」を緊急リリース
- 情報処理推進機構:情報セキュリティ: Windows の Server サービスの脆弱性(MS08-067)について
- http://www.virustotal.com/jp/analisis/29615ff645d687e2c9e4755b02d73742
- http://www.virustotal.com/jp/analisis/0d85cbb3f9bfb690e83fe18a714e889d
- http://www.virustotal.com/jp/analisis/9d24ee0f469e680f076ff8bb5d1097d4
- http://www.virustotal.com/jp/analisis/01f53d19dd47a3a57b7ebe561a2f5857
- http://www.virustotal.com/jp/analisis/5b2ef899975505bd0b05261b399f38e4
- http://www.virustotal.com/jp/analisis/b65967aac1fcc4bdb11d1843e548730c
- http://www.virustotal.com/jp/analisis/f49a38f3bbe4859ce0e549c002932881
- http://www.virustotal.com/jp/analisis/4243e991443b65e8d8c2be8c12b05860
- http://www.virustotal.com/jp/analisis/b9da7810f1ec925f0dd6331e3168b1b5
- Clear and Present Danger: Out-of-Band MS Patch | TrendLabs | Malware Blog - by Trend Micro
- IPA、WindowsのServerサービスの脆弱性を指摘 | パソコン | マイコミジャーナル
- Bloodhound.Exploit.212 - Symantec.com
- Windowsに「緊急」の脆弱性、「悪用するワームが出現する恐れ」:ITpro
- Windowsに「緊急」の脆弱性、「悪用するワームが出現する恐れ」:ニュース
- MS08-067 - 緊急: Server サービスの脆弱性により、リモートでコードが実行される (958644):セキュリティホール memo
- New critical Security Bulletin MS08-067 - PandaLabs
- Computer Security Research - McAfee Avert Labs Blog
- http://www.computerworld.jp/topics/ms/125131.html
- 【セキュリティ ニュース】MSの緊急脆弱性を狙う攻撃が発生 - すでに複数国から感染報告(1ページ目 / 全1ページ):Security NEXT
- Spy-Agent.da
- Spy-Agent.da.dll
- Computer Security Research - McAfee Avert Labs Blog
- Worm - 脅威データベース
- Clear and Present Danger: Out-of-Band MS Patch | TrendLabs | Malware Blog - by Trend Micro
- MSFN - Microsoft releases emergency Windows patch to head off worm attack
- SANS Internet Storm Center; Cooperative Network Security Community - Internet Security - isc
- Snort - the de facto standard for intrusion detection/prevention
- Tracking MS08-067 - Vulnerabilities & Exploits - STN Peer-to-Peer Discussion Forums
- ゼロデイ:Microsoft Windows Server サービスにバッファオーバーフローの脆弱性(MS08-067/CVE-2008-4250)、攻撃コードも… : 投稿 : HotFix Report BBS
- MS、Serverサービスの脆弱性で、定例外のパッチ公開:ニュース - CNET Japan
- MS、Serverサービスの脆弱性で、定例外のパッチ公開 - セキュリティ - ZDNet Japan
- MS臨時パッチ公開の翌日に悪用コード出現 - ITmedia エンタープライズ
- Here's what has been going on with MS08-067 since Friday - F-Secure Weblog : News from the Lab
- Trojan.Gimmiv.A - Symantec.com
- ログインしてください:日経 xTECH(クロステック)
- http://www.milw0rm.com/exploits/6841
- IBM インターネット セキュリティ システムズ : Microsoft Windows Server サービスでの RPC によるコード実行
- マイクロソフトの緊急セキュリティパッチを確認する
- Security Vulnerability Research & Defense : Most common questions that we've been asked regarding MS08-067
- MS08-067 Exploited in the Wild - Vulnerabilities & Exploits - STN Peer-to-Peer Discussion Forums
- US-CERT Current Activity
- Microsoft Security Advisory (958963): Exploit Code Published Affecting the Server Service
- マイクロソフト セキュリティ アドバイザリ (958963): Server サービスに影響を与える悪用コードの公開について
- MS、Windowsの脆弱性突く新たな攻撃コードを確認 - ITmedia エンタープライズ
- 日本のセキュリティチーム (Japan Security Team) : MS08-067の悪用コード (Exploit)
- Proof of Concept binaries for MS08-067 targeting english Windows OS's - F-Secure Weblog : News from the Lab