首页 -> 安全研究

安全研究

紧急通告
绿盟科技紧急通告(Alert2008-01)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com

Windows TCP/IP协议栈存在严重远程安全漏洞

发布日期:2008-01-09


综述:
======
微软发布了1月份的2篇安全公告,这些公告描述并修复了3个安全漏洞,其中1个漏洞属于“紧急”风险级别。其中MS08-001中修复了两个Windows TCP/IP协议实现中的远程漏洞,攻击者无需身份认证即可匿名发起攻击,利用这些漏洞可能远程入侵并完全控制客户端系统。

我们强烈建议使用Windows操作系统的用户立刻检查一下您的系统是否受此漏洞影响,并按照我们提供的解决方法予以解决。

分析:
======
微软发布了1月份的2篇最新的安全公告:MS08-001到MS08-002。这些安全公告分别描述了3个安全问题,分别是有关各版本的Microsoft Windows产品中的漏洞。

1. MS08-001 - Windows TCP/IP中的漏洞可能允许远程执行代码(941644)

    - 受影响软件:
    
    Microsoft Windows 2000 Service Pack 4
    Windows XP Service Pack 2
    Windows XP Professional x64 Edition和Windows XP Professional x64 Edition Service Pack 2
    Windows Server 2003 Service Pack 1和Windows Server 2003 Service Pack 2
    Windows Server 2003 x64 Edition和Windows Server 2003 x64 Edition Service Pack 2
    Windows Server 2003 SP1(用于基于Itanium的系统)以及Windows Server 2003 SP2(用于基于Itanium的系统)
    Windows Vista
    Windows Vista x64 Edition
                  
    - 漏洞描述:

    Windows内核处理存储IGMPv3和MLDv2查询状态的TCP/IP结构的方式导致Windows内
    核中存在远程执行代码漏洞。匿名攻击者可以通过在网络上向计算机发送特制的
    IGMPv3和MLDv2报文来利用此漏洞。成功利用此漏洞的攻击者可以完全控制受影响
    的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用
    户权限的新帐户。
    
    Windows内核处理碎片路由器广播ICMP查询的方式导致TCP/IP中存在拒绝服务漏洞。
    匿名攻击者可以通过在网络上向计算机特制的ICMP报文利用此漏洞,导致计算机
    停止响应和自动重新启动。但利用此漏洞所必须的ICMP路由发现协议(RDP)不是
    默认启用的。
    
    风险级别和漏洞标识
_________________________________________________
|受影响软件 |Windows内核  |Windows内核  |所有漏洞|
|           |TCP/IP/IGMPv3|TCP/IP/ICMP  |总体风险|
|           |和MLDv2漏洞  |漏洞         |级别    |
|           |CVE-2007-0069|CVE-2007-0066|        |
|___________|_____________|_____________|________|
|           |             |             |        |
|2000 SP4   |不受影响     |中等         | 中等   |
|           |             |拒绝服务     |        |
|___________|_____________|_____________|________|
|           |             |             |        |
|XP SP2     |紧急         |中等         | 紧急   |
|           |远程代码执行 |拒绝服务     |        |
|___________|_____________|_____________|________|
|           |             |             |        |
|XP Pro x64 |紧急         |中等         | 紧急   |
|版和XP Pro |远程代码执行 |拒绝服务     |        |
|x64 SP2    |             |             |        |
|___________|_____________|_____________|________|
|           |             |             |        |
|Server 2003|重要         |中等         | 重要   |
|SP1和SP2   |远程代码执行 |拒绝服务     |        |
|___________|_____________|_____________|________|
|Server 2003|             |             |        |
|x64版和x64 |重要         |中等         | 重要   |
|版SP2      |远程代码执行 |拒绝服务     |        |
|___________|_____________|_____________|________|
|Server 2003|             |             |        |
|SP1(基于  |             |             |        |
|Itanium系  |重要         |中等         | 重要   |
|统)和SP2  |远程代码执行 |拒绝服务     |        |
|(基于     |             |             |        |
|Itanium系  |             |             |        |
|统)       |             |             |        |
|___________|_____________|_____________|________|
|           |             |             |        |
|Vista      |紧急         |不受影响     | 紧急   |
|           |远程代码执行 |             |        |
|___________|_____________|_____________|________|
|Vista x64版|紧急         |不受影响     | 紧急   |
|           |远程代码执行 |             |        |
|___________|_____________|_____________|________|                                
          
    - 临时解决方案:

    * 禁止处理IGMP和MLD
    
    1. 单击“开始”,单击“运行”,键入regedit,然后单击“确定”。
    2. 展开 HKEY_LOCAL_MACHINE。
    3. 依次展开SYSTEM、CurrentControlSet和Services。
    4. 依次展开TCPIP、Parameters和IGMPLevel。
    5. 将DWORD值更改为0。
    
    注意:您必须重新启动系统以使更改生效。

    * 在周边防火墙上阻止IGMP和MLD
    * 在Vista防火墙上阻止入站的IGMP和MLD
    
    单击“控制面板”,单击“管理工具”,然后双击“高级安全Windows防火墙”。
    
    阻止IGMP:
    
    1. 选择“入站规则”。
    2. 选择“核心网络 - Internet组管理协议(IGMP-In)”。
    3. 右键单击“选择属性”。
    4. 选择“阻止连接”。
    
    阻止MLD:
    
    1. 选择“入站规则”。
    2. 选择“核心网络 - 多播侦听程序查询(ICMPv6-In)”。
    3. 右键单击“选择属性”。
    4. 选择“阻止连接”。

    * 禁止处理路由器发现协议

    1. 单击“开始”,单击“运行”,键入regedit,然后单击“确定”。
    2. 展开 HKEY_LOCAL_MACHINE。
    3. 依次展开SYSTEM、CurrentControlSet和Services。
    4. 依次展开TCPIP、Parameters和Interfaces。
    5. 选择interface_name并将PerformRouterDiscovery值设置为0。
    
    注意:您必须重新启动系统以使更改生效。
                      
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带的
    "Windows update"功能下载最新补丁。
    
    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS08-001.mspx
    
2. MS08-002 - LSASS中的漏洞可能允许本地权限提升(943485)

    - 受影响系统:
    
    Microsoft Windows 2000 Service Pack 4
    Windows XP Service Pack 2
    Windows XP Professional x64 Edition和Windows XP Professional x64 Edition Service Pack 2
    Windows Server 2003 Service Pack 1和Windows Server 2003 Service Pack 2
    Windows Server 2003 x64 Edition和Windows Server 2003 x64 Edition Service Pack 2
    Windows Server 2003 SP1(用于基于Itanium的系统)以及Windows Server 2003 SP2(用于基于Itanium的系统)
        
    - 漏洞描述:

    LSASS过程没有正确的处理特制LPC请求,当LSASS进程收到特制的LCP请求时,攻
    击者就可以以提升的权限运行代码。成功利用此漏洞的攻击者可以完全控制受影
    响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全
    用户权限的新帐户。

    风险级别和漏洞标识
__________________________________________________
|受影响软件       |LSASS绕过漏洞    |总体风险级别 |
|                 |CVE-2007-5352    |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows 2000     |重要             | 重要        |
|SP4              |权限提升         |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows XP       |重要             | 重要        |
|SP2              |权限提升         |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows XP Pro   |重要             | 重要        |
|x64版            |权限提升         |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows Server   |重要             | 重要        |
|2003 SP1和Windows|权限提升         |             |
|Server 2003 SP2  |                 |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows Server   |重要             | 重要        |
|2003 x64版和     |权限提升         |             |
|Windows Server   |                 |             |
|2003 x64版SP2    |                 |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows Server   |重要             | 重要        |
|2003 for         |权限提升         |             |
|Itanium-based    |                 |             |
|Systems和Windows |                 |             |
|Server 2003 with |                 |             |
|SP1 for Itanium- |                 |             |
|based Systems    |                 |             |
|_________________|_________________|_____________|                    
    
    - 临时解决方案:
    
    无
  
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS08-002.mspx

附加信息:
==========
1. http://www.microsoft.com/china/technet/security/bulletin/MS08-001.mspx
2. http://www.microsoft.com/china/technet/security/bulletin/MS08-002.mspx
3. http://secunia.com/advisories/28297/
4. http://www.kb.cert.org/vuls/id/410025
5. http://www.us-cert.gov/cas/techalerts/TA08-008A.html

声 明
==========

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com

© 2018 绿盟科技