绿盟安全月刊->第7期->最新漏洞 MS Windows 95/98/SE远程DoS攻击

日期：2000-05-23


受影响的系统:  
Windows 95
Windows 98
Windows 98 Second Edition
WarFTPd (on Windows 95/98/SE)
Microsoft Outlook (on Windows 95/98/SE)
Eudora Pro 4.2 (on Windows 95/98/SE)

不受影响系统:  Windows NT 4.0
Windows 2000

--------------------------------------------------------------------------------
描述:

概要：

    本地与远程用户通过使用一个指向特殊设备驱动器的路径串(比如一个正常的URL)来使Windows 98崩溃.
当解析该路径的时候，Windows会在毫无提示的情况下崩溃，并导致系统重新启动。


细节：

    当MS Windows操作系统解析一个象"c:\[device]\[device]"这样的路径时,系统会暂停,并最终导致整个操
作系统崩溃。有5个设备驱动程序可被利用来做此攻击：CON, NUL, AUX, CLOCK$ 和 CONFIG$.其他驱动程序
象LPT[x]:, COM[x]: 和PRN 都不会造成影响。

类似CON\NUL, NUL\CON, AUX\NUL, ...的组合对攻击Windows都很有效。

驱动程序说明：
在IO.SYS中有详细的说明.

CLOCK$          - System clock
CON                - Console;combination of keyboard and screen to handle input and output
AUX or COM1 - First serial communicationport
COMn             - Second, Third, ... communicationport
LPT1 or PRN  - First parallel port
NUL                - Dummy port, or the "null device" which we all know under Linux as /dev/null.
CONFIG$        - Unknown

FAT32/VFAT说明：

    Windows 95/98和Windows NT支持VFAT文件系统('长文件名'文件系统)。技术上来说，VFAT并不是一个新的文
件系统。它使用的是和一般的FAT一样的路径结构，格式，已经分区类型。VFAT只是在FAT路径中使用的一个存储
信息的简单方法。

    对VFAT来说，它最主要的功能是能存储长文件名。因为它是建立在普通的FAT下的，所以每个文件都可有8.3文
件格式。但VFAT另外分配了路径区以支持长文件名。

    一些由"NUL和"CON"组成的路径调用，可能会导致FAT32/VFAT上程序的崩溃，最终的结果是系统崩溃。

    因此，当通过解析路径串来调用FAT32/VFAT内核程序时，很可能就会使一些本地或远程的应用程序崩溃。


--------------------------------------------------------------------------------

测试程序：

1. 在HTML页面的图像标识符中隐藏一个指向[drive]:\con\con 或 [drive]:\nul\nul的图像路径。当查看该HTML
页面时，会使Windows 98崩溃。(在MS outlook和Eudora Pro 4.2--另Netscape Messenger不受影响)

<HTML>
<BODY>
<A HREF="c:\con\con">crashing IE</A>
<!-- or nul\nul, clock$\clock$ -->
<!-- or aux\aux, config$\config$ -->
</BODY>
</HTML>

2. 在WarFTPd下的根路径中，使用GET /con/com 或 GET /nul/nul，也可以使操作系统崩溃。其他的FTP服务程序
还未经测试。此漏洞可远程使用。

3. 修改[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open]的键值为：
   c:\con\con "%1" %*
   或
   c:\nul\nul "%1" %*  
   也会导致系统的崩溃。

4. 创建一个HTML的页面，例子如下：

<HTML>
<BODY>
<IMG SRC="c:\con\con">
<!-- or nul\nul, clock$\clock$ -->
<!-- or aux\aux, config$\config$ -->
</BODY>
</HTML>

Netscape

Netscape不受此漏洞的影响，因为在调用此路径的时候，该路径串会被更改为
file:///D|/c:\nul\nul.上面在URL中输入c:\nul\nul时，
如果不带file:///D|/,Netscape(和操作系统)会遭到此类的攻击。

--------------------------------------------------------------------------------
建议:

该漏洞对MS Windows NT/2000不产生影响,Windows 95/98和98 Second Edition用户可以将系统升级到Windows NT/2000.

相关技术站点已经发布了相应的补丁：

Microsoft Windows 98:

Technocraft patch Decon
http://www.technocraft.co.jp/download/Decon02e.exe

Microsoft Windows 95:

Technocraft patch Decon
http://www.technocraft.co.jp/download/Decon02e.exe