首頁 -> 安全研究

安全研究

緊急通告
綠盟科技緊急通告(Alert2004-13)

NSFOCUS安全小組([email protected])
http://www.nsfocus.com

Microsoft WINS 服務存在嚴重遠程安全漏洞

發布日期:2004-11-29


受影響的軟件及系統:
====================
Microsoft Windows NT 4.0 Server
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advance Server
Microsoft Windows 2003 Web Edition
Microsoft Windows 2003 Standard Edition
Microsoft Windows 2003 Enterprise Edition
Microsoft Windows 2003 Datacenter Edition

未受影響的軟件及系統:
======================
Microsoft Windows 2000 Professional
Microsoft Windows XP

綜述:
======
WINS(Windows Internet Name Service)是微軟Windows 系統支持的一套類似于DNS的名稱服務,負責將網絡計算機名解析為IP地址。

近日,immunitysec發現并公開了一個WINS的遠程安全漏洞,入侵者可利用該漏洞完全控制運行著WINS的系統。

分析:
======
WINS 服務支持一個稱之為“WINS 復制”的特性,不同的WINS服務器可以靠這個功能交換信息。WINS 復制使用的也是監聽在TCP 42端口上的標準WINS協議。

在WINS復制的會話過程中,服務器端會發送一個內存指針給客戶端,客戶端用這個指針進行后續的會話。如果客戶端在發送的數據中自己修改這個指針,使之指向用戶控制的數據,最終就可以向任意地址寫入16個字節的數據。通過覆蓋特殊地址可以執行任意代碼。

成功地利用這個漏洞將導致遠程攻擊者完全控制運行了WINS服務的Windows操作系統。

解決方法:
==========
* 在邊界網絡設備上阻斷對內部TCP 42和UDP 137端口的訪問。

* 如果不需要的話,刪除WINS:
    在“控制面板”中,開啟“添加/刪除程序”。
    點擊“添加/刪除 Windows 組件”。
    在“Windows 組件向導”頁面中,在“組件”之下選擇“網絡服務”,再點擊“詳細資料”。
    取消核選“Windows Internet 命名服務 (WINS)”復選框以移除該組件。
    依照Windows 組件向導的指示,完成后續的步驟。

目前微軟尚沒有就此漏洞提供安全補丁。

附加信息:
==========
http://www.immunitysec.com/downloads/instantanea.pdf
http://www.258434.live/index.php?act=alert&do=view&aid=48

聲 明
==========

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

關于綠盟科技
============

綠盟科技(NSFOCUS Co., Ltd.)是中國網絡安全領域的領導企業,致力于網絡和系統安全問題的研究、高端網絡安全產品的研發、銷售與網絡安全服務,在入侵檢測/保護、遠程評估、 DDoS攻擊防護等方面提供具有國際競爭能力的先進產品,是國內最具安全服務經驗的專業公司。有關綠盟科技的詳情請參見: http://www.nsfocus.com

© 2020 綠盟科技
海南七星彩彩票官网