灌爆buffer
微软IIS ism.dll buffer overflow
受到感染的服务器:以Service Pack 3,4,5执行IIS4.0的窗口NT服务器
在所有网络服务器的入侵行为之一中,微软IIS buffer容易遭受 overflow攻击(buffer overflow)的弱点是最严重的一个。这项弱点较为人所知的是IIS eEye hack,它是以发现这个问题的团体而命名的。buffer overflow的攻击行动是在目标程序或服务内,输入比其能处理的更大的流量,使它突然地终止。在执行程序终止前,也可以将输入设计成改写它的某些部分,如此一来,可以在服务器安全特权的语境内,执行任意的命令。
eEye发现IIS的HTR文件的解译程序──ism.dll──容易遭受buffer overflow的攻击。如果攻击者给IIS一个以.hr结束的超长档名(大约三千个字母或更多),此项输入将会超出ism.dll内的输入buffer的范围,并且使它因而当掉。如果攻击者不是插入文字符串而是执行码(通常被称作「蛋」或是「壳码」)的话,在IIS终止前,可以执行该插入码。eEye小组归纳出三项步骤:
既然buffer overflow会在IIS进程当掉之前,使它执行窗口shell,这个shell是在相当于拥有NT管理者特权的IIS安全特权语境下所执行的。现在,攻击者所须做的只是连结到已被入侵的IIS服务器的倾听埠,并且将会出现c:>的指令以表示欢迎之意。现在攻击者拥有整个NT服务器的管理权限,并且可以任意地处置它,范围可以从增加新使用者到修改它的内容、格式化驱动程序、或甚至利用它作为侵入其它系统的踏板。
以Service Pack 3,4,5执行IIS4.0的窗口NT服务器容易受到这项攻击。微软已经提供一项修复程序以修补这个弱点。同样地,窗口NT Service Pack 6也修复了这个问题。
您对本文有任何意见或问题吗?请来信告诉我们
