针对“Microsoft Windows 即插即用缓冲区溢出漏洞（MS05-039）”的攻击代码和蠕虫已经出现

发布日期：2005-08-15


受影响的软件及系统：
====================
Microsoft Windows 2000 SP4
Microsoft Windows XP SP2
Microsoft Windows XP SP1
Microsoft Windows Server 2003 SP1
Microsoft Windows Server 2003

综述：
======
微软安全公告MS05-039中提到的“Microsoft Windows 即插即用缓冲区溢出漏洞”，目前已经有攻击代码在网上流传，并且已经出现针对该漏洞的蠕虫。

鉴于该漏洞影响的广泛性，我们强烈建议使用Windows 操作系统的用户立刻检查一下您的系统是否受此漏洞影响，并参考我们提供的解决方法予以解决。

分析：
======
ISS 发现了Microsoft Windows的即插即用(PNP)服务存在缓冲区溢出漏洞，远程或者本地的入侵者成功利用这个漏洞可以完全控制受影响的系统。

Microsoft Windows PNP的主要功能是在安装新硬件时能够检测到这些设备。PNP可以通过RPC接口远程调用。

在Windows 2000上，可以远程匿名进行这个RPC调用；在 Windows XP SP1上，需要以一个有效帐号登录后才可以调用；在Windows XP SP2和Windows 2003上，只有管理员组用户才能远程调用，其它帐号只能本地调用。

所以，该漏洞对Windows 2000的威胁最大。其危险程度和MS03-026的RPC DCOM缓冲区漏洞是一样的。

目前至少已经有一个IRC Bot 蠕虫家族将该漏洞纳入了自身的攻击代码中，根据杀毒软件厂商的不同，可能命名为Zotob.A或者Net-Worm.Win32.Mytob.cd。该蠕虫目前主要通过TCP/445端口攻击Windows 2000。请尽快升级您的反病毒软件来检查您是否已经被此蠕虫感染。

解决方法：
==========
临时解决方法：

在边界防火墙和单机防火墙上阻止 TCP 端口 139 和 445。

注意： 这并不能完全消除漏洞，只是增加一些攻击难度。攻击者也可能通过其他端口进行攻击。

厂商状态：
==========
厂商补丁：

Microsoft已经为此发布了一个安全公告（MS05-039）以及相应补丁:
http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx


补丁下载：

Microsoft Windows 2000 Service Pack 4：
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyId=E39A3D96-1C37-47D2-82EF-0AC89905C88F
    
Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2：
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyId=9A3BFBDD-62EA-4DB2-88D2-415E095E207F

Microsoft Windows XP Professional x64 Edition：
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyId=89D90E25-4773-4782-AD06-9B7517BAB3C8

Microsoft Windows Server 2003和Microsoft Windows Server 2003 Service Pack 1：
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyId=6275D7B7-DAB1-47C8-8745-533EB471072C

Microsoft Windows Server 2003 for Itanium-based Systems和Microsoft Windows Server 2003 with SP1 for Itanium-based Systems：
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyId=BE18D39D-3E4C-4C6F-B841-2CCD8D4C3F50

Microsoft Windows Server 2003 x64 Edition：
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyId=D976316D-3B17-4AD4-9198-513FFDAC98E4

附加信息：
==========
http://xforce.iss.net/xforce/alerts/id/202
http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx
http://www.us-cert.gov/cas/techalerts/TA05-221A.html
http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=7972
http://seclists.org/lists/fulldisclosure/2005/Aug/0382.html
http://www.f-secure.com/v-descs/zotob_a.shtml

声 明
==========

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技（NSFOCUS Co., Ltd.）是中国网络安全领域的领导企业，致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务，在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品，是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见： http://www.nsfocus.com

© 2024 绿盟科技