Microsoft Windows SPNEGO协议解码拒绝服务漏洞

发布日期：2004-04-14

CVE ID：CAN-2004-0119

受影响的软件及系统：
====================
- Microsoft Windows XP
- Microsoft Windows 2000
- Microsoft Windows 2003

未受影响的软件及系统：
======================
- Microsoft Windows 9x
- Microsoft Windows NT

综述：
======
NSFOCUS安全小组发现微软Windows系统中SPNEGO协议解码函数中存在一个远程拒绝服务攻击漏洞，远程攻击者可能利用这个漏洞Windows系统崩溃或者不能正常工作。

分析：
======
SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) 协议可以被用来协商使用何种安全机制。Windows系统允许使用多种认证机制，因此它也利用SPNEGO协议来进行客户端和服务器之间的认证机制协商。

Windows系统在处理SPNEGO协议的代码中存在一个安全漏洞，允许远程攻击者进行拒绝服务攻击。

当发送一个特别构造的SPNEGO NegTokenInit请求时，就会造成LSASRV.DLL中发生一个空指针引用错误，从而导致LSASS.EXE崩溃。这将使得所有与系统认证相关的操作无法进行，例如远程访问SMB共享，或者交互式本地登陆。对于Windows 2003，会导致系统自动关机或蓝屏。

攻击者可以通过所有使用SPNEGO的服务进行攻击，例如TCP port 139, 445。IIS缺省也允许通过SPNEGO来协商使用哪种认证协议(例如NTLM, Kerberos等)，因此攻击者也可以通过IIS进行攻击。

根据厂商的回复，如果厂商只修复这个拒绝服务攻击漏洞，同样的畸形请求还会触发在后续代码中的一个缓冲区溢出问题。现在厂商的补丁已经同时修复了这两个安全漏洞。

解决方法：
==========
* 在防火墙上限制不可信IP访问下列端口：

    445/UDP
    139/TCP
    445/TCP

* 对于正在使用IIS提供WEB服务的系统，可以采用下列两种方法之一来减轻危害:

    1. 在IIS服务中禁用"集成windows认证"。

    2. 禁用认证协商。通过下列命令将只允许使用NTLM进行认证:

       cscript adsutil.vbs set w3svc/NTAuthenticationProviders "NTLM"

       adsutil.vbs可以在IIS的adminscripts目录下找到。
       更多信息详见KB 215383:
       http://support.microsoft.com/?id=215383

厂商状态：
==========
2004.02.19  通知厂商
2004.02.19  厂商证实漏洞存在
2004.04.13  微软已就此发布了一个安全公告(MS04-011)以及相应补丁

您可以在下列地址看到微软安全公告的详细内容：

http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx

附加信息：
==========
通用漏洞披露(Common Vulnerabilities and Exposures)组织CVE已经为此问题分配了一个候选名 CAN-2004-0119。此名字是为了收录进CVE列表做候选之用,(http://cve.mitre.org)CVE列表致力于使安全问题的命名标准化。候选名在被正式加入CVE列表之前可能会有较大的变化。

致谢：
======

本安全漏洞由绿盟科技安全小组(NSFOCUS Security Team)的陈庆发现。

声 明
==========

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技（NSFOCUS Co., Ltd.）是中国网络安全领域的领导企业，致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务，在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品，是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见： http://www.nsfocus.com

© 2024 绿盟科技