首页 -> 安全研究

安全研究

安全漏洞
Microsoft Windows MS-DOS设备名远程拒绝服务攻击漏洞(MS00-017)

发布日期:2000-03-04
更新日期:2001-07-31

受影响系统:
Microsoft Windows NT 4.0SP6a
Microsoft Windows NT 4.0SP6
Microsoft Windows NT 4.0SP5
Microsoft Windows NT 4.0SP4
Microsoft Windows NT 4.0SP3
Microsoft Windows NT 4.0SP2
Microsoft Windows NT 4.0SP1
Microsoft Windows NT 4.0
Microsoft Windows ME
Microsoft Windows 98SP1
Microsoft Windows 98se
Microsoft Windows 98j
Microsoft Windows 98
Microsoft Windows 95OSR2
Microsoft Windows 95j
Microsoft Windows 95b
Microsoft Windows 95a
Microsoft Windows 95
Microsoft Windows 2000SP3
Microsoft Windows 2000SP2
Microsoft Windows 2000SP1
Microsoft Windows 2000
描述:
BUGTRAQ  ID: 1043
CVE(CAN) ID: CVE-2000-0168

Microsoft Windows是最流行的计算机操作系统。

Microsoft Windows处理特殊的设备文件名是存在漏洞,远程或本地攻击者可能利用此漏洞对主机进行拒绝服务攻击,导致主机崩溃重启。

当Microsoft Windows操作系统解析一个类似"c:\[device]\[device]"这样的路径时,系统会暂停并最终导致整个操作系统崩溃。有5个设备驱动程序可被利用来做此攻击:CON、NUL、AUX、CLOCK$和CONFIG$。类似CON\NUL、NUL\CON、AUX\NUL的组合对攻击Windows都很有效,其他驱动程序象LPT[x]:、COM[x]和PRN都不会造成影响。

在IO.SYS中有详细的说明.

CLOCK$      - System clock
CON         - Console;combination of keyboard and screen to handle input and output
AUX or COM1 - First serial communicationport
COMn        - Second, Third, ... communicationport
LPT1 or PRN - First parallel port
NUL         - Dummy port, or the "null device" which we all know under Linux as /dev/null.
CONFIG$     - Unknown

Windows 95/98和Windows NT支持VFAT文件系统(“长文件名”文件系统)。技术上来说,VFAT并不是一个新的文件系统。它使用的是和一般的FAT一样的路径结构、格式、已经分区类型。VFAT只是在FAT路径中使用的一个存储信息的简单方法。对VFAT来说,它最主要的功能是能存储长文件名。因为它是建立在普通的FAT下的,所以每个文件都可有8.3文件格式。但VFAT另外分配了路径区以支持长文件名。一些由"NUL和"CON"组成的路径调用,可能会导致FAT32/VFAT上程序的崩溃,最终的结果是系统崩溃。因此,当通过解析路径串来调用FAT32/VFAT内核程序时,很可能就会使一些本地或远程的应用程序崩溃。

<*链接:http://www.microsoft.com/technet/security/bulletin/fq00-017.asp
        http://www.microsoft.com/technet/security/bulletin/MS00-017.asp
*>

测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

1. 在HTML页面的图像标识符中隐藏一个指向[drive]:\con\con 或 [drive]:\nul\nul的图像路径。当查看该HTML页面时,会使Windows 98崩溃。(在MS outlook和Eudora Pro 4.2--另Netscape Messenger不受影响)

<HTML>
<BODY>
<A HREF="c:\con\con">crashing IE</A>
<!-- or nul\nul, clock$\clock$ -->
<!-- or aux\aux, config$\config$ -->
</BODY>
</HTML>

2. 在WarFTPd下的根路径中,使用GET /con/com 或 GET /nul/nul,也可以使操作系统崩溃。其他的FTP服务程序还未经测试。此漏洞可远程使用。

3. 修改[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open]的键值为:
   c:\con\con "%1" %*
   或
   c:\nul\nul "%1" %*  
   也会导致系统的崩溃。

4. 创建一个HTML的页面,例子如下:

<HTML>
<BODY>
<IMG SRC="c:\con\con">
<!-- or nul\nul, clock$\clock$ -->
<!-- or aux\aux, config$\config$ -->
</BODY>
</HTML>

Netscape

Netscape不受此漏洞的影响,因为在调用此路径的时候,该路径串会被更改为file:///D|/c:\nul\nul.上面在URL中输入c:\nul\nul时,如果不带file:///D|/,Netscape(和操作系统)会遭到此类的攻击。

建议:
厂商补丁:

Microsoft
---------
Microsoft已经为此发布了一个安全公告(MS00-017)以及相应补丁:
MS00-017:Patch Available for "DOS Device in Path Name" Vulnerability
链接:http://www.microsoft.com/technet/security/bulletin/MS00-017.asp

补丁下载:

- Windows 95:
   http://www.microsoft.com/downloads/release.asp?releaseID=19491
- Windows 98 and Windows 98 Second Edition:
   http://www.microsoft.com/downloads/release.asp?ReleaseID=19389

浏览次数:4143
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障