利用LSA服务远程缓冲区溢出漏洞的蠕虫正在传播

发布日期：2004-05-02


受影响的软件及系统：
====================
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows 2003

未受影响的软件及系统：
======================
Microsoft Windows 98
Microsoft Windows ME
Microsoft Windows NT 4.0

综述：
======
绿盟科技网络安全小组捕获到一个新的蠕虫正在快速传播。该蠕虫利用的是本月早些时候公布的“Windows Local Security Authority Service远程缓冲区溢出漏洞”。由于该蠕虫传播的目标是相当流行的Windows操作系统，所以危险程度很高。对于没有安装ms04-011安全补丁而又没有防火墙保护的联网系统来说，被该蠕虫感染的几率相当大。

蠕虫攻击可能导致Windows 2000/XP操作系统重启，蠕虫传播时可能导致被感染主机系统性能严重下降以及被感染网络带宽被大量占用。

分析：
======
LSA服务是Windows系统中一个相当重要的服务，所有安全认证相关的处理都要通过这个服务。该服务在记录日志的时候会调用vsprintf()函数以，但是对提供给这个函数的字符串参数缺少正确的边界检查，发送超长的字符串可导致缓冲区溢出，进而执行任意代码，完全控制系统。数日前，有人公布了针对该漏洞的一个攻击代码。

这个蠕虫利用上述漏洞，在系统上取得控制权后，打开9996端口并绑定cmd.exe，然后连接上来，通过ftp将蠕虫自身传输到系统目录下，文件名为“4-5位随机数字_up.exe”, 例如74354_up.exe。传输完毕后，蠕虫文件就会被执行，进行以下操作：

1、将自身拷贝到 %SystemRoot%\avserve.exe 并在注册表主键：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加如下键值:
"avserve.exe" = %SystemRoot%\avserve.exe
这将导致每次系统重起时该蠕虫被自动运行。

2、在C盘根目录创建文件win.log，里面记录本地主机的IP地址。

3、在本地的5554端口建立FTP服务器，用于传播自身。

4、扫描并攻击网络上的其他主机的TCP/445端口，一旦攻击成功，就在被攻击的主机的TCP 9996端口上启动一个shell程序，然后回连到本地的FTP服务器上下载蠕虫并运行。

另外，由于该蠕虫使用的溢出代码不够完善，受攻击的系统在运行一段时间后，本地安全权威服务的进程LSASS.EXE会崩溃，这将导致系统重启。

蠕虫攻击可能导致Windows 2000/XP操作系统重启，蠕虫传播时可能导致被感染主机系统性能严重下降以及被感染网络带宽被大量占用。

解决方法：
==========
绿盟科技的“冰之眼”入侵检测系统可以侦测出该蠕虫的传播行为并找到被蠕虫感染的主机，“极光”远程安全评估系统可帮助您快速找出网络上存在安全隐患可能被蠕虫攻击的系统。

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 如果您已经被蠕虫感染，可以参考如下步骤杀掉蠕虫：

   1) 以管理员身份登陆，启动一个CMD窗口（或者在“开始”-->“运行”中），执行下列命令：
      net stop server
      
      这将停止server服务，蠕虫将无法通过共享服务发起攻击。这会影响一些依赖server服务的程序，
      在安装完补丁之后应当重新启动此服务。
   2) 打开任务管理器，杀掉名字为"avserve.exe"和"4-5位随机数字_up.exe"(例如74354_up.exe)的进程。
   3) 执行regedit命令启动注册表编辑器，找到如下键：
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
      
      删除其中的如下键值：
      "avserve.exe"="%Windir%\avserve.exe"
   4)  安装微软提供的MS04-011中的安全补丁，参考"厂商补丁"中的相关链接
   5) 重新启动系统。
  
* 使用防火墙对UDP端口135、137、138、445及TCP端口135、139、445、593进行过滤。

厂商补丁：

请参考Microsoft安全公告MS04-011安装相应补丁:
MS04-011：Security Update for Microsoft Windows (835732)
链接：http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

补丁下载：

Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, 和Microsoft Windows 2000 Service Pack 4 ：
http://www.microsoft.com/downloads/details.aspx?FamilyId=0692C27E-F63A-414C-B3EB-D2342FBB6C00&displaylang=en

Microsoft Windows XP and Microsoft Windows XP Service Pack 1 ：
http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=en

Microsoft Windows XP 64-Bit Edition Service Pack 1：
http://www.microsoft.com/downloads/details.aspx?FamilyId=C6B55EF2-D9FE-4DBE-AB7D-73A20C82FF73&displaylang=en

Microsoft Windows XP 64-Bit Edition Version 2003：
http://www.microsoft.com/downloads/details.aspx?FamilyId=C207D372-E883-44A6-A107-6CD2D29FC6F5&displaylang=en

附加信息：
==========
http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=6305
http://www.eeye.com/html/Research/Advisories/AD20040413C.html
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

声 明
==========

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技（NSFOCUS Co., Ltd.）是中国网络安全领域的领导企业，致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务，在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品，是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见： http://www.nsfocus.com

© 2024 绿盟科技