首页 -> 安全研究

安全研究

紧急通告
绿盟科技紧急通告(Alert2009-09)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com

Windows系统SMB v2协议实现存在远程严重安全漏洞

发布日期:2009-09-21

CVE ID:CVE-2009-3103

受影响的软件及系统:
====================
Windows Vista
Windows Server 2008

未受影响的软件及系统:
======================
Windows 2000
Windows XP
Windows 2003
Windows 7

综述:
======
Windows Vista和Windows Server 2008捆绑了新版的SMB v2协议实现,协议的实现在
处理包含畸形数据的请求报文时存在漏洞,可能导致系统执行任意指令或发生蓝屏死
机。尽管开始认为此漏洞很难被利用,但现在已经被证实存在可靠远程利用此漏洞的
方法,相关验证代码已经公开,微软已经针对此漏洞发布了安全公告和临时解决方法。

我们强烈建议使用Windows操作系统的用户立刻检查一下您的系统是否受此漏洞影
响,参考我们提供的建议进行处理。

分析:
======
实现SMB v2协议相关的SRV2.SYS驱动没有正确地处理包含畸形SMB头结构数据的
NEGOTIATE PROTOCOL REQUEST请求,如果远程攻击者在发送的SMB报文的Process Id
High头字段中包含有畸形数据的话,就会在_Smb2ValidateProviderCallback()函数
中触发越界内存引用,导致以内核态执行任意指令或发生系统崩溃。

从目前的分析来看,Windows Vista及Windows Server 2008存在此漏洞,已经证明利
用此漏洞在系统上执行任意指令并完全控制Windows系统是可能的,漏洞的利用无需
额外的认证过程,只要系统开放了通常的文件共享及打印服务并允许远端访问即受此
漏洞影响。

绿盟科技“冰之眼网络入侵保护系统”和“极光远程安全评估系统”已可以检测和防
护针对该漏洞的攻击。

解决方法:
==========
* 禁用SMB v2,可以通过修改注册表实现:

  将以下文本保存为.REG文件并双击导入:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
"smb2"=dword:00000000


  smb2为0时禁用SMBv2,为1时启用SMBv2。

  修改注册表完成以后重启系统的 Server 的服务。

* 设置Windows系统自带的防火墙,禁止对139、445/TCP端口的入站连接。

* 在Windows的服务管理器中禁用 Server 服务。

厂商状态:
==========
微软已经提供了安全公告MS09-050修复这一问题:
http://www.microsoft.com/china/technet/security/bulletin/MS09-050.mspx

附加信息:
==========
1. http://www.nsfocus.net/vulndb/13807
2. http://www.microsoft.com/technet/security/advisory/975497.mspx
3. http://marc.info/?l=bugtraq&m=125243829128443&w=2
4. http://www.microsoft.com/china/technet/security/bulletin/MS09-050.mspx

声 明
==========

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com

© 2024 绿盟科技