首頁 -> 安全研究

安全研究

緊急通告
綠盟科技緊急通告(Alert2009-09)

NSFOCUS安全小組([email protected])
http://www.nsfocus.com

Windows系統SMB v2協議實現存在遠程嚴重安全漏洞

發布日期:2009-09-21

CVE ID:CVE-2009-3103

受影響的軟件及系統:
====================
Windows Vista
Windows Server 2008

未受影響的軟件及系統:
======================
Windows 2000
Windows XP
Windows 2003
Windows 7

綜述:
======
Windows Vista和Windows Server 2008捆綁了新版的SMB v2協議實現,協議的實現在
處理包含畸形數據的請求報文時存在漏洞,可能導致系統執行任意指令或發生藍屏死
機。盡管開始認為此漏洞很難被利用,但現在已經被證實存在可靠遠程利用此漏洞的
方法,相關驗證代碼已經公開,微軟已經針對此漏洞發布了安全公告和臨時解決方法。

我們強烈建議使用Windows操作系統的用戶立刻檢查一下您的系統是否受此漏洞影
響,參考我們提供的建議進行處理。

分析:
======
實現SMB v2協議相關的SRV2.SYS驅動沒有正確地處理包含畸形SMB頭結構數據的
NEGOTIATE PROTOCOL REQUEST請求,如果遠程攻擊者在發送的SMB報文的Process Id
High頭字段中包含有畸形數據的話,就會在_Smb2ValidateProviderCallback()函數
中觸發越界內存引用,導致以內核態執行任意指令或發生系統崩潰。

從目前的分析來看,Windows Vista及Windows Server 2008存在此漏洞,已經證明利
用此漏洞在系統上執行任意指令并完全控制Windows系統是可能的,漏洞的利用無需
額外的認證過程,只要系統開放了通常的文件共享及打印服務并允許遠端訪問即受此
漏洞影響。

綠盟科技“冰之眼網絡入侵保護系統”和“極光遠程安全評估系統”已可以檢測和防
護針對該漏洞的攻擊。

解決方法:
==========
* 禁用SMB v2,可以通過修改注冊表實現:

  將以下文本保存為.REG文件并雙擊導入:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
"smb2"=dword:00000000


  smb2為0時禁用SMBv2,為1時啟用SMBv2。

  修改注冊表完成以后重啟系統的 Server 的服務。

* 設置Windows系統自帶的防火墻,禁止對139、445/TCP端口的入站連接。

* 在Windows的服務管理器中禁用 Server 服務。

廠商狀態:
==========
微軟已經提供了安全公告MS09-050修復這一問題:
http://www.microsoft.com/china/technet/security/bulletin/MS09-050.mspx

附加信息:
==========
1. http://www.258434.live/vulndb/13807
2. http://www.microsoft.com/technet/security/advisory/975497.mspx
3. http://marc.info/?l=bugtraq&m=125243829128443&w=2
4. http://www.microsoft.com/china/technet/security/bulletin/MS09-050.mspx

聲 明
==========

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

關于綠盟科技
============

綠盟科技(NSFOCUS Co., Ltd.)是中國網絡安全領域的領導企業,致力于網絡和系統安全問題的研究、高端網絡安全產品的研發、銷售與網絡安全服務,在入侵檢測/保護、遠程評估、 DDoS攻擊防護等方面提供具有國際競爭能力的先進產品,是國內最具安全服務經驗的專業公司。有關綠盟科技的詳情請參見: http://www.nsfocus.com

© 2020 綠盟科技
海南七星彩彩票官网