. r a i n . f o r e s t . p u p p y . -------------------------------------------------- rfp.labs ------------- Remedie voor RFPoison - Dutch version (Opvolger van RFP9906) ------------------------------ rain forest puppy / rfp@wiretrip.net ----- Inhoudsopgave: - 1. Probleem - 2. Oplossingen - 3. Conclusie ------------------------------------------------------------------------- De adviezen zijn te vinden in de archief van http://www.wiretrip.net/rfp/ ------------------------------------------------------------------------- ----[ 1. Probleem Laatst heb ik de RFP9906 uitgegeven: NT denial of service in services.exe (RFPoison). Ik heb een beperkte demo exploit bijgesloten dat het probleem zal aantonen. Sinds dien heb ik met een aantal individuelen samengewerkt en besloten welke configuraties uw systeem zal beschermen. ----[ 2. Oplossingen De oplossingen verschillen in klassen...van een simpele fix tot een ultieme beveiliging. - #1 Enable 'RestrictAnonymous' Suggestie door David LeBlanc, je kan 'RestrictAnonymous' support in staat stellen (enable) in Lsa. Om dit te doen, ga naar (in het register): \HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa Als je dit niet hebt, dan moet je een DWORD key (sleutel) creeren genaamd 'RestrictAnonymous', met een waarde van '1'. Dit zal een anonieme SMB verbindingen verbieden (die RFPoison gebruikt). Dit zal je box gewoon normaal laten zonder enige gevolgen. - #2 Unbind NetBIOS from TCP/IP Suggestie door Scott G. Danahy, je kan de TCP/IP unbinden van je NetBios, wat zou beteken dat je niet langer gebruik kan maken van routed File Sharing (alles moet local worden, met gebruik van NetBEUI). Om dit voor elkaar te krijgen, voer dan het volgende uit: - Start - Settings / instellingen - Control Panel / configuratiescherm - Open the Network applet / open de Netwerk applicatie - Click the 'Bindings' tab - Expand 'NetBIOS Interface' - Highlight 'WINS Client (TCP/IP)' - Click 'Disable' - Click 'OK' - Do you want to restart? Sure, why not. / herstarten Nu zal NetBios niet meer beschikbaar zijn voor gebruik door TCP/IP. Merk op dat dit kan reageren op uw systeem, als u op afstand gebruik maakt van TCP/IP om toegang te krijgen tot file sharing en remote administration van uw systeem. - #3 Stop de Server service Suggestie door Glitch. De beste oplossing voor de ultieme paranoide. Het stoppen van de Server service *zal* remote administration en file sharing voorkomen maar het zal ook RFPoison voorkomen, samen met een pak andere misbruikingen in het algemeen. Als u een standalone web server heeft dat HTTP en FTP gebruikt, samen met local console administration, dan kun je deze services stoppen door het volgende te doen, ga naar: - Start - Settings / instellingen - Control Panel / configuratiescherm - Open the Services applet - Select 'Server' service - Click 'Stop' (Note: het kan u waarschuwen dat het ook nodig zal zijn om de Computer Browser service te stoppen. Click 'OK') - Hoewel 'Server' nog steeds aan is, click 'Startup' - Verander tot 'Manual / Handmatig' startup type. - Click 'OK' - Highlight the 'Computer Browser' service - Click 'Startup' - Verander tot 'Manual / Handmatig' startup type. - Click 'OK' ----[ 3. Conclusie Al het bovenstaande zal uw systeem moeten voorbehoeden van RFPoison. Als er een mogelijkheid is dat je niet kwetsbaar bent, en je helemaal *geen* patches of de bovenstaande fixes hebt toegepast, alsjeblieft email me met de volledige systeem informatie en patch geschiedenis, zodat ik je kan toevoegen op de lijst van oplossingen. - rfp@wiretrip.net --- rain forest puppy / rfp@wiretrip.net ----------- ADM / wiretrip ----- The battle may be lost, but the war is not over.... --- Zero Cool / zero.cool@zonnet.nl ---------------- RFP ---------------- Well, I... I... I got Linux! -------------------------------------------------- rfp.labs -------------