绿盟安全月刊->第1期->最新漏洞 NT新BUG,远程DoS攻击

整理：goodwell
日期：1999-09-15

ISS X-Force 发现一项针对 Windows NT Server 4.0 终端服务器版本所作的 DoS 攻击。这个安全性弱点让远端使用者可以迅速的耗尽 Windows NT Terminal Server 上所有可用的内存，造成主机上所有登陆者断线，并且无法再度登入。

说明：

1. Windows NT Server 4.0 终端服务器版本在 TCP port 3389 监听终端连接 (terminal connection)，一旦某个 TCP 连接连上这个端口, 终端服务器会开始分配系统资源，以处理新的客户端连接，并作连接的认证工作。

2. 此处的漏洞在于：在认证工作完成前，系统需要拨出相当多的资源去处理新的连 接，而系统并未针对分配出去的资源作节制。因此远端的攻击者可以利用建立大 量 TCP 连接到 port 3389 的方法，造成系统存储体配置达到饱和。

3. 此时服务器上所有使用者连接都会处于超时状态，而无法继续连接到服务器上，远端攻击者仍能利用一个仅耗用低频宽的程式，做出持续性的攻击，让此 服务器处於最多记忆体被耗用的状态，来避免新的连接继续产生。

4. 在国外的测试报告中指出，长期持续不断针对此项弱点的攻击，甚至可以导致服务器持续性当机，除非重新开机，服务器将无法再允许新连接的完成。

受影响平台：

Windows NT 4.0 Terminal Server Edition.


影响结果：使用者可以造成 DoS 攻击，瘫痪服务器功能。


解决方案：

1. 以下是修正程序的网址：
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40tse/hotfixes postSP4/Flood-fix/
[注意]：因为行数限制，上面网址请合并为一行。
2. 更详细资料请参考 Microsoft 网站的网址：
http://www.microsoft.com/security/bulletins/ms99-028.asp.