首頁 -> 安全研究

安全研究

緊急通告
綠盟科技緊急通告(Alert2008-01)

NSFOCUS安全小組([email protected])
http://www.nsfocus.com

Windows TCP/IP協議棧存在嚴重遠程安全漏洞

發布日期:2008-01-09


綜述:
======
微軟發布了1月份的2篇安全公告,這些公告描述并修復了3個安全漏洞,其中1個漏洞屬于“緊急”風險級別。其中MS08-001中修復了兩個Windows TCP/IP協議實現中的遠程漏洞,攻擊者無需身份認證即可匿名發起攻擊,利用這些漏洞可能遠程入侵并完全控制客戶端系統。

我們強烈建議使用Windows操作系統的用戶立刻檢查一下您的系統是否受此漏洞影響,并按照我們提供的解決方法予以解決。

分析:
======
微軟發布了1月份的2篇最新的安全公告:MS08-001到MS08-002。這些安全公告分別描述了3個安全問題,分別是有關各版本的Microsoft Windows產品中的漏洞。

1. MS08-001 - Windows TCP/IP中的漏洞可能允許遠程執行代碼(941644)

    - 受影響軟件:
    
    Microsoft Windows 2000 Service Pack 4
    Windows XP Service Pack 2
    Windows XP Professional x64 Edition和Windows XP Professional x64 Edition Service Pack 2
    Windows Server 2003 Service Pack 1和Windows Server 2003 Service Pack 2
    Windows Server 2003 x64 Edition和Windows Server 2003 x64 Edition Service Pack 2
    Windows Server 2003 SP1(用于基于Itanium的系統)以及Windows Server 2003 SP2(用于基于Itanium的系統)
    Windows Vista
    Windows Vista x64 Edition
                  
    - 漏洞描述:

    Windows內核處理存儲IGMPv3和MLDv2查詢狀態的TCP/IP結構的方式導致Windows內
    核中存在遠程執行代碼漏洞。匿名攻擊者可以通過在網絡上向計算機發送特制的
    IGMPv3和MLDv2報文來利用此漏洞。成功利用此漏洞的攻擊者可以完全控制受影響
    的系統。攻擊者可隨后安裝程序;查看、更改或刪除數據;或者創建擁有完全用
    戶權限的新帳戶。
    
    Windows內核處理碎片路由器廣播ICMP查詢的方式導致TCP/IP中存在拒絕服務漏洞。
    匿名攻擊者可以通過在網絡上向計算機特制的ICMP報文利用此漏洞,導致計算機
    停止響應和自動重新啟動。但利用此漏洞所必須的ICMP路由發現協議(RDP)不是
    默認啟用的。
    
    風險級別和漏洞標識
_________________________________________________
|受影響軟件 |Windows內核  |Windows內核  |所有漏洞|
|           |TCP/IP/IGMPv3|TCP/IP/ICMP  |總體風險|
|           |和MLDv2漏洞  |漏洞         |級別    |
|           |CVE-2007-0069|CVE-2007-0066|        |
|___________|_____________|_____________|________|
|           |             |             |        |
|2000 SP4   |不受影響     |中等         | 中等   |
|           |             |拒絕服務     |        |
|___________|_____________|_____________|________|
|           |             |             |        |
|XP SP2     |緊急         |中等         | 緊急   |
|           |遠程代碼執行 |拒絕服務     |        |
|___________|_____________|_____________|________|
|           |             |             |        |
|XP Pro x64 |緊急         |中等         | 緊急   |
|版和XP Pro |遠程代碼執行 |拒絕服務     |        |
|x64 SP2    |             |             |        |
|___________|_____________|_____________|________|
|           |             |             |        |
|Server 2003|重要         |中等         | 重要   |
|SP1和SP2   |遠程代碼執行 |拒絕服務     |        |
|___________|_____________|_____________|________|
|Server 2003|             |             |        |
|x64版和x64 |重要         |中等         | 重要   |
|版SP2      |遠程代碼執行 |拒絕服務     |        |
|___________|_____________|_____________|________|
|Server 2003|             |             |        |
|SP1(基于  |             |             |        |
|Itanium系  |重要         |中等         | 重要   |
|統)和SP2  |遠程代碼執行 |拒絕服務     |        |
|(基于     |             |             |        |
|Itanium系  |             |             |        |
|統)       |             |             |        |
|___________|_____________|_____________|________|
|           |             |             |        |
|Vista      |緊急         |不受影響     | 緊急   |
|           |遠程代碼執行 |             |        |
|___________|_____________|_____________|________|
|Vista x64版|緊急         |不受影響     | 緊急   |
|           |遠程代碼執行 |             |        |
|___________|_____________|_____________|________|                                
          
    - 臨時解決方案:

    * 禁止處理IGMP和MLD
    
    1. 單擊“開始”,單擊“運行”,鍵入regedit,然后單擊“確定”。
    2. 展開 HKEY_LOCAL_MACHINE。
    3. 依次展開SYSTEM、CurrentControlSet和Services。
    4. 依次展開TCPIP、Parameters和IGMPLevel。
    5. 將DWORD值更改為0。
    
    注意:您必須重新啟動系統以使更改生效。

    * 在周邊防火墻上阻止IGMP和MLD
    * 在Vista防火墻上阻止入站的IGMP和MLD
    
    單擊“控制面板”,單擊“管理工具”,然后雙擊“高級安全Windows防火墻”。
    
    阻止IGMP:
    
    1. 選擇“入站規則”。
    2. 選擇“核心網絡 - Internet組管理協議(IGMP-In)”。
    3. 右鍵單擊“選擇屬性”。
    4. 選擇“阻止連接”。
    
    阻止MLD:
    
    1. 選擇“入站規則”。
    2. 選擇“核心網絡 - 多播偵聽程序查詢(ICMPv6-In)”。
    3. 右鍵單擊“選擇屬性”。
    4. 選擇“阻止連接”。

    * 禁止處理路由器發現協議

    1. 單擊“開始”,單擊“運行”,鍵入regedit,然后單擊“確定”。
    2. 展開 HKEY_LOCAL_MACHINE。
    3. 依次展開SYSTEM、CurrentControlSet和Services。
    4. 依次展開TCPIP、Parameters和Interfaces。
    5. 選擇interface_name并將PerformRouterDiscovery值設置為0。
    
    注意:您必須重新啟動系統以使更改生效。
                      
    - 廠商補丁:                

    微軟已經提供了安全補丁以修復此安全漏洞,我們建議您使用Windows系統自帶的
    "Windows update"功能下載最新補丁。
    
    您也可以通過微軟的安全公告選擇并安裝針對您所用系統的安全補丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS08-001.mspx
    
2. MS08-002 - LSASS中的漏洞可能允許本地權限提升(943485)

    - 受影響系統:
    
    Microsoft Windows 2000 Service Pack 4
    Windows XP Service Pack 2
    Windows XP Professional x64 Edition和Windows XP Professional x64 Edition Service Pack 2
    Windows Server 2003 Service Pack 1和Windows Server 2003 Service Pack 2
    Windows Server 2003 x64 Edition和Windows Server 2003 x64 Edition Service Pack 2
    Windows Server 2003 SP1(用于基于Itanium的系統)以及Windows Server 2003 SP2(用于基于Itanium的系統)
        
    - 漏洞描述:

    LSASS過程沒有正確的處理特制LPC請求,當LSASS進程收到特制的LCP請求時,攻
    擊者就可以以提升的權限運行代碼。成功利用此漏洞的攻擊者可以完全控制受影
    響的系統。攻擊者可隨后安裝程序;查看、更改或刪除數據;或者創建擁有完全
    用戶權限的新帳戶。

    風險級別和漏洞標識
__________________________________________________
|受影響軟件       |LSASS繞過漏洞    |總體風險級別 |
|                 |CVE-2007-5352    |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows 2000     |重要             | 重要        |
|SP4              |權限提升         |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows XP       |重要             | 重要        |
|SP2              |權限提升         |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows XP Pro   |重要             | 重要        |
|x64版            |權限提升         |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows Server   |重要             | 重要        |
|2003 SP1和Windows|權限提升         |             |
|Server 2003 SP2  |                 |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows Server   |重要             | 重要        |
|2003 x64版和     |權限提升         |             |
|Windows Server   |                 |             |
|2003 x64版SP2    |                 |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows Server   |重要             | 重要        |
|2003 for         |權限提升         |             |
|Itanium-based    |                 |             |
|Systems和Windows |                 |             |
|Server 2003 with |                 |             |
|SP1 for Itanium- |                 |             |
|based Systems    |                 |             |
|_________________|_________________|_____________|                    
    
    - 臨時解決方案:
    
    無
  
    - 廠商補丁:                

    微軟已經提供了安全補丁以修復此安全漏洞,我們建議您使用Windows系統自帶
    的"Windows update"功能下載最新補丁。

    您也可以通過微軟的安全公告選擇并安裝針對您所用系統的安全補丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS08-002.mspx

附加信息:
==========
1. http://www.microsoft.com/china/technet/security/bulletin/MS08-001.mspx
2. http://www.microsoft.com/china/technet/security/bulletin/MS08-002.mspx
3. http://secunia.com/advisories/28297/
4. http://www.kb.cert.org/vuls/id/410025
5. http://www.us-cert.gov/cas/techalerts/TA08-008A.html

聲 明
==========

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

關于綠盟科技
============

綠盟科技(NSFOCUS Co., Ltd.)是中國網絡安全領域的領導企業,致力于網絡和系統安全問題的研究、高端網絡安全產品的研發、銷售與網絡安全服務,在入侵檢測/保護、遠程評估、 DDoS攻擊防護等方面提供具有國際競爭能力的先進產品,是國內最具安全服務經驗的專業公司。有關綠盟科技的詳情請參見: http://www.nsfocus.com

© 2020 綠盟科技
彩票网站哪个最正规