Windows Server 2008蓝屏漏洞揭秘

ZDNet软件频道 时间:2009-11-02 作者: | 51cto 我要评论()
本文关键词:Windows Windows Server 微软 Windows
9月初,在各大安全网站上登载了一个Windows操作系统的蓝屏漏洞的消息,这个漏洞的出现如同一颗石子,打破了近半年来Windows没有爆出重大漏洞的沉寂。

  9月初,在各大安全网站上登载了一个Windows操作系统的蓝屏漏洞的消息,这个漏洞的出现如同一颗石子,打破了近半年来Windows没有爆出重大漏洞的沉寂。

  蓝屏漏洞威胁的是服务器操作系统Windows Server 2008,这意味着如果Windows Server 2008蓝屏,将导致服务器停止服务……目前,漏洞的利用代码还限制在小范围内,不过漏洞攻击工具却已经研制出来了,现在为大家揭秘蓝屏漏洞的利用过程。

  问题: Windows Server 2008蓝屏漏洞

  危害: 服务器出现蓝屏停止服务

  危机:服务器的蓝屏隐痛

  我是安天实验室的苗得雨,我下面给大家说的就是蓝屏漏洞。蓝屏漏洞的正式名称是SMB v2漏洞,到截稿为止该漏洞还没有补丁(预计10月第二个星期出补丁)。蓝屏漏洞的危害到底有多大?对我们普通网民会带来危害吗?蓝屏漏洞主要威胁的是使用Windows Server 2008的服务器,对Vista系统也有一定的影响。不过现在的黑客都变得务实起来,不会对市场份额尴尬的Vista系统感兴趣。

  使用Windows Server 2008作为服务器操作系统的,是邮件服务器、网站服务器、数据服务器、域名服务器等。一旦服务器蓝屏了,管理员很可能不会第一时间知道——因为很多服务器都没有配专用的显示器,服务器就会在一段时间内停止服务。

  如果是网站服务器停止服务了,服务器上的所有网站都无法访问;如果是邮件服务器停止服务了,邮件就不能中转发送;如果是数据服务器停止服务了,可能会导致数据支持的系统崩溃,例如网游、网银等系统;如果是域名服务器停止服务了,“断网门”可能再次上演。

  2007年,微软发布了替换Windows Server 2003的新一代服务器操作系统Windows Server 2008,该系统支持多核处理器,拥有64-bit技术、虚拟化以及优化的电源管理等功能,吸引了许多企业用户将服务器操作系统更换为该系统。

  据市场调研机构Gartner提供的数据显示,在2007年全球发货的服务器中,Windows服务器的份额已经增长到66.8%,其中 Windows Server 2008占了主流。在2008年~2009年,Windows Server 2008成为微软的主打产品之一,份额呈现上升趋势。根据以上数据测算,全球大约有五分之一的服务器使用的操作系统是Windows Server 2008。

  原理:SMB溢出

  这次导致蓝屏漏洞出现的原因,是一个名为SRV2.SYS的驱动文件不能正确地处理畸形数据结构请求。如果黑客恶意构造一个恶意畸形的数据报文发送给安装有Windows Server 2008的服务器,那么就会触发越界内存引用行为,让黑客可以执行任意的恶意代码(图1)。

  

点击放大此图片

  编注:SMB(Server Message Block,又称Common Internet File System)是由微软开发的一种软件程序级的网络传输协议,主要作用是使一个网络上的机器共享计算机文件、打印机、串行端口和通讯等资源。它也提供认证的进程间通信机能。它主要用在装有 Microsoft Windows的机器上,这样的机器被称为Microsoft Windows Network。SMB v2是SMB协议的最新升级版。

  做一个形象的比喻,这就如同一座大桥的检查站一样,检查人员只根据卡车上标注的吨位来估算卡车能否通过这座桥,而事实上黑客可以让一辆超载的卡车同样标注上合格的吨位通过检查站。由于没有做真正的称重,检查人员只凭借标注吨位来识别,最终导致超载的卡车危及大桥安全,导致桥毁车亡。

  模拟:实测蓝屏漏洞

  步骤1:准备好蓝屏漏洞的测试程序(该程序由安天实验室特制,不过由于危害太大,不能提供下载),然后在网络中搜寻、下载一款端口扫描程序,此次测试我们选择的是L-ScanPort端口扫描器。

  步骤2:打开L-ScanPort端口扫描器(图2),在IP地址一栏中输入想扫描的网络段落,例如“192.168.1.1”作为起始段,“192.168.255.255”作为结束段。然后在软件界面中找到“端口列表”一项,勾选上“445”端口,点击“GO”按钮扫描。

  

  如果有开启445端口的Windows Server 2008,那么就意味着黑客可以发动蓝屏攻击了。测试中,我们准备了一台装有Windows Server 2008并开启SMB共享协议的服务器,扫描记录下该服务器IP地址之后,准备发动攻击测试。

  步骤3: 在扮演攻击方的电脑中,我们打开“命令提示符”,将测试程序放在C盘根目录,然后在C :>根目录下,输入攻击命令:SMBv2.exe [被攻击服务器IP地址](图3)。

  

点击放大此图片

  我们以最快的速度跑到被攻击测试服务器面前,看到了下面的一幕(图4)。

  

点击放大此图片

  防范:没有补丁这样防

  由于目前该漏洞没有补丁,所以我们给出一个临时解决方案,管理员必须手动在防火墙上关闭139端口和445端口,这种方法可以屏蔽来自英特网的所有的未经请求的入站通信,但是停止该协议后,也就意味着用户将不再能正常使用网络内共享的文档和打印机了。

  深度分析

  大多数安全研究员不相信该漏洞仅可以实现蓝屏效果,据我们所知,这个微软官方一度认为不可能实现其他攻击行为的漏洞,变成了可以实现远程执行代码的高危漏洞。有安全研究员发现,通过新的手段可以利用该漏洞执行黑客制定的恶意代码,例如后门、木马,最终实现控制整台服务器的目的。

  如果黑客能够实现控制文件共享服务器,也就意味着黑客盗取保存在Windows Server 2008服务器中的企业数据将易如反掌。事件的严重性超出了许多安全组织的想象,在此时,或许全球的黑客都在疯狂地分析该漏洞,紧随其后的很可能就是利用该漏洞发动的服务器蠕虫攻击风暴……

Windows

Windows Server

微软

Windows

用户评论
用户名
评论内容
发表时间
ZDNet网友
2011-03-18 14:57:01
ZDNet网友
2010-05-21 00:49:14
ZDNet网友
2010-05-21 00:48:00
ZDNet网友
微软应该对自己的用户负责,如果用户完全使用xp升级微软win7,为什么要付出这样麻烦的代价?都是微软出品软件,且都是利用该软件获取信息以及处理文字、多媒体功能,微软应该尽可能方便用户!虽然有时候这样的请求也许跟不上时代技术发展的脚步,但是微软不要以此为借口,认为一切都理所应当,就不可以方便用户。还是要尽力,所谓拿人手短吃人嘴软,商业不正是讲求有商道吗!至少做人需诚实守信,尽可能帮助用户顺利、安全转换操作系统、各种必须软件功能尽可能兼容以及信息尽可能的少丢失!虽然这很大程度仅仅取决于微软等计算机专家、工程师的自我自律约束,我们普通用户恐怕很难知道微软究竟仅了多大力量为用户考虑,但是我相信真相会有被发现的一天,无论多久远。 微软从某种意义上来说,就是一个类似“掌握魔方”操作特别出神入化的公司。几乎奠定了电脑主要的“规则”,但是,我却相信不久将来我们会发现,电脑依然是非常有限的一个小系统而已!随着我们新的关键材料认知突破,电脑系统会真正被另一个革命性新电脑系统所取代,不要以为我这样的说法是无稽之谈不可实现,我却认为很有可能,只看这样的情况发生究竟是快还是慢,是早还是迟!变成历史的小玩具之后的电脑系统,微软会留下良好的历史声名吗?我们拭目以待! 网友::我爱佛祖
2010-02-03 13:52:55
- 发表评论 -
匿名
注册用户

百度大联盟认证黄金会员Copyright© 1997- CNET Networks 版权所有。 ZDNet 是CNET Networks公司注册服务商标。
中华人民共和国电信与信息服务业务经营许可证编号:京ICP证010391号 京ICP备09041801号-159
京公网安备:1101082134