首頁 -> 安全研究

安全研究

緊急通告
綠盟科技緊急通告(Alert2004-07)

NSFOCUS安全小組([email protected])
http://www.nsfocus.com

利用LSA服務遠程緩沖區溢出漏洞的蠕蟲正在傳播

發布日期:2004-05-02


受影響的軟件及系統:
====================
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows 2003

未受影響的軟件及系統:
======================
Microsoft Windows 98
Microsoft Windows ME
Microsoft Windows NT 4.0

綜述:
======
綠盟科技網絡安全小組捕獲到一個新的蠕蟲正在快速傳播。該蠕蟲利用的是本月早些時候公布的“Windows Local Security Authority Service遠程緩沖區溢出漏洞”。由于該蠕蟲傳播的目標是相當流行的Windows操作系統,所以危險程度很高。對于沒有安裝ms04-011安全補丁而又沒有防火墻保護的聯網系統來說,被該蠕蟲感染的幾率相當大。

蠕蟲攻擊可能導致Windows 2000/XP操作系統重啟,蠕蟲傳播時可能導致被感染主機系統性能嚴重下降以及被感染網絡帶寬被大量占用。

分析:
======
LSA服務是Windows系統中一個相當重要的服務,所有安全認證相關的處理都要通過這個服務。該服務在記錄日志的時候會調用vsprintf()函數以,但是對提供給這個函數的字符串參數缺少正確的邊界檢查,發送超長的字符串可導致緩沖區溢出,進而執行任意代碼,完全控制系統。數日前,有人公布了針對該漏洞的一個攻擊代碼。

這個蠕蟲利用上述漏洞,在系統上取得控制權后,打開9996端口并綁定cmd.exe,然后連接上來,通過ftp將蠕蟲自身傳輸到系統目錄下,文件名為“4-5位隨機數字_up.exe”, 例如74354_up.exe。傳輸完畢后,蠕蟲文件就會被執行,進行以下操作:

1、將自身拷貝到 %SystemRoot%\avserve.exe 并在注冊表主鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加如下鍵值:
"avserve.exe" = %SystemRoot%\avserve.exe
這將導致每次系統重起時該蠕蟲被自動運行。

2、在C盤根目錄創建文件win.log,里面記錄本地主機的IP地址。

3、在本地的5554端口建立FTP服務器,用于傳播自身。

4、掃描并攻擊網絡上的其他主機的TCP/445端口,一旦攻擊成功,就在被攻擊的主機的TCP 9996端口上啟動一個shell程序,然后回連到本地的FTP服務器上下載蠕蟲并運行。

另外,由于該蠕蟲使用的溢出代碼不夠完善,受攻擊的系統在運行一段時間后,本地安全權威服務的進程LSASS.EXE會崩潰,這將導致系統重啟。

蠕蟲攻擊可能導致Windows 2000/XP操作系統重啟,蠕蟲傳播時可能導致被感染主機系統性能嚴重下降以及被感染網絡帶寬被大量占用。

解決方法:
==========
綠盟科技的“冰之眼”入侵檢測系統可以偵測出該蠕蟲的傳播行為并找到被蠕蟲感染的主機,“極光”遠程安全評估系統可幫助您快速找出網絡上存在安全隱患可能被蠕蟲攻擊的系統。

如果您不能立刻安裝補丁或者升級,NSFOCUS建議您采取以下措施以降低威脅:

* 如果您已經被蠕蟲感染,可以參考如下步驟殺掉蠕蟲:

   1) 以管理員身份登陸,啟動一個CMD窗口(或者在“開始”-->“運行”中),執行下列命令:
      net stop server
      
      這將停止server服務,蠕蟲將無法通過共享服務發起攻擊。這會影響一些依賴server服務的程序,
      在安裝完補丁之后應當重新啟動此服務。
   2) 打開任務管理器,殺掉名字為"avserve.exe"和"4-5位隨機數字_up.exe"(例如74354_up.exe)的進程。
   3) 執行regedit命令啟動注冊表編輯器,找到如下鍵:
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
      
      刪除其中的如下鍵值:
      "avserve.exe"="%Windir%\avserve.exe"
   4)  安裝微軟提供的MS04-011中的安全補丁,參考"廠商補丁"中的相關鏈接
   5) 重新啟動系統。
  
* 使用防火墻對UDP端口135、137、138、445及TCP端口135、139、445、593進行過濾。

廠商補?。?br />
請參考Microsoft安全公告MS04-011安裝相應補丁:
MS04-011:Security Update for Microsoft Windows (835732)
鏈接:http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

補丁下載:

Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, 和Microsoft Windows 2000 Service Pack 4 :
http://www.microsoft.com/downloads/details.aspx?FamilyId=0692C27E-F63A-414C-B3EB-D2342FBB6C00&displaylang=en

Microsoft Windows XP and Microsoft Windows XP Service Pack 1 :
http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=en

Microsoft Windows XP 64-Bit Edition Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=C6B55EF2-D9FE-4DBE-AB7D-73A20C82FF73&displaylang=en

Microsoft Windows XP 64-Bit Edition Version 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=C207D372-E883-44A6-A107-6CD2D29FC6F5&displaylang=en

附加信息:
==========
http://www.6047803.live/index.php?act=sec_bug&do=view&bug_id=6305
http://www.eeye.com/html/Research/Advisories/AD20040413C.html
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

聲 明
==========

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

關于綠盟科技
============

綠盟科技(NSFOCUS Co., Ltd.)是中國網絡安全領域的領導企業,致力于網絡和系統安全問題的研究、高端網絡安全產品的研發、銷售與網絡安全服務,在入侵檢測/保護、遠程評估、 DDoS攻擊防護等方面提供具有國際競爭能力的先進產品,是國內最具安全服務經驗的專業公司。有關綠盟科技的詳情請參見: http://www.nsfocus.com

© 2020 綠盟科技
彩票网站哪个最正规