Windows 2000系统漏洞(中)

13.IIS 5.0 的HTR映射远程堆溢出漏洞
漏洞描述
Windows 2000的IIS 5.0对“htr”文件的映射请求处理存在堆溢出漏洞，远程攻击者可利用该漏洞获取主机普通用户的访问权限。
解释
默认安装的IIS提供对“htr”文件请求的支持，一般htr文件用于设置基于Web的口令，其请求被映射为一个ISAPI扩展，并由ISM.DLL来处理。当请求传送至ISM.DLL 的ISAPI过滤器处理时，某些特殊请求将导致处理过程中发生堆溢出问题，原因为ISM.DLL分配的缓冲区比实际接受的用户输入数据长度小一个字节，因此导致一个单字节溢出的发生。
如攻击者使用随机数据，可使IIS服务崩溃(即IIS 5.0会自动重启)，某些发送的数据，也可使程序执行任意代码。如成功利用该漏洞，远程攻击者可获取IIS4.0中的SYSTEM权限和IIS5.0中的IWAM_computername用户权限。
对策
(1)建议在不需使用“htr”映射时，立刻删除“htr”脚本映射。
(2)下载补丁，网址如下所述： 

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37824 

(3)安装Windows 2000的Serive Pack 2以上的版本。 

14.IIS5.0的ASP缓冲溢出漏洞
漏洞描述
IIS 5.0 ASP 的ISAPI过滤器存在远程缓冲区溢出漏洞，远程攻击者可利用该漏洞获取主机普通用户访问权限。
解释
默认安装的IIS 5.0服务器加载ASP ISAPI过滤器，在处理分块编码传送机制的代码中存在缓冲区溢出漏洞，攻击者可通过提交恶意分块编码数据来覆盖内存数据，并通过指定的数据重写任意地址的4字节内存。
如攻击者使用随机数据，可使IIS服务崩溃(IIS 5.0会自动重启)。成功利用该漏洞，攻击者可获取IIS 5.0的 IWAM_computername用户权限。
对策
(1)下载补丁，网址如下所述： 

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37824 

(2)如不使用ASP脚本，可删除“asp”脚本映射。
(3)安装Windows 2000的Serive Pack 2以上的版本。 

15.Narrator本地密码信息泄露漏洞
漏洞描述
恶意攻击者可使计算机读出用户名和密码。
解释
Windows 2000包含可选用功能――Narrator，该功能用于将文本翻译为语音。Narrator在登录至终端服务进程时存在设计问题，本地攻击者可利用该漏洞获取密码信息。
当Narrator登录至终端服务进程时，会将用户名、域名和相关的密码以语音方式输出，导致密码信息泄露。
对策
目前暂无相关补丁，建议不安装该功能。 

16.SMTP认证漏洞
漏洞描述
SMTP 用户认证可跳过。
解释
SMTP 服务属于Windows 2000 server和Internet Mail Connector缺省安装的部分。当Windows 2000 SMTP service和Exchange Server 5.5 IMC 接收NTLM验证层用户验证通知时，在赋予该用户合法访问权限前会进行多余的验证，在某些情况下会进行不正确的验证，使攻击者可获取用户级的非法访问权。
对策
下载安装补丁，网址如下所述： 

Microsoft Windows 2000 Server, Professional and Advanced Server：
http://www.microsoft.com/Downloads/Release.asp?ReleaseID= 36556 

Exchange Server 5.5：
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=33423 

17.IIS 5.0/5.1 验证漏洞
漏洞描述
IIS 验证漏洞导致泄露系统信息及帐户可通过暴力法破解。
解释
IIS提供了Web、FTP和Mail等服务，并支持匿名访问，当Web服务器验证用户失败时，将返回“401 Access Denied”信息，如服务器支持基本认证方式，攻击者可将主机头域置空后，Web服务器将返回包含内部地址的信息，因此可利用该问题对服务器的用户口令进行暴力法破解。
对策
(1)如服务器访问不需认证，建议关闭基本认证和集成的Windows认证。
(2)设置帐号策略以防止暴力法破解。 

18.SQL Server的函数库漏洞
漏洞描述
在Windows 2000 和SQL Server7.0/2000系统中，由于函数库本身问题会导致内存溢出和拒绝服务。本地攻击者利用该漏洞可获取系统特权或进行D.o.S 攻击，并可运行攻击程序，使其产生拒绝服务。
解释
SQL Server 7.0和2000提供很多函数使数据库查询产生文字信息，这些文字信息保存于变量中，这些函数存在两种漏洞，如下所述：
(1)函数库本身问题，产生内存溢出，且可按需执行程序或引起其SQL Server 服务产生错误。
(2)呼叫SQL Server函数库时，产生C runtime函数库内格式字符串漏洞。
由于这两个漏洞产生原因不同，因此需分别修补，建议按需对C runtime进行修正。
对策
(1)建议用户按 SQL Server和C runtime的不同方式进行修补安装。
(20下载安装补丁，网址如下所述： 

SQL Server：
SQL Server 7.0：
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=35066 

SQL Server 2000：
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=35067 

C Runtime：
Windows NT 4.0 和 Windows 2000：
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=33500 

Windows XP： http://www.microsoft.com/Downloads/Release.asp?ReleaseID=35023 

19.IIS5.0 伪造“Content-Length”拒绝服务漏洞
漏洞描述
通过向IIS 5.0发送某些请求，可导致IIS 5.0拒绝服务。
解释
当IIS 5.0接收包含伪造的“Content-Length”域的GET请求时，会以异常方式处理该请求，即IIS 5.0保持该连接且不超时，但不再响应其他请求，仅重启才可恢复正常工作。
对策
目前还未有关于该漏洞的补丁程序，建议限制非信任主机对80端口的访问。 

20.调试寄存器漏洞
漏洞描述
通过该漏洞，可提升用户权限。
解释
如在Windows 2000系统执行程序，通过该漏洞可提升用户权限。该漏洞的原因在于x86调试寄存器的DR0至DR7寄存器对于所有进程均为全局性。因此在进程中所设的硬件断点会影响其他进程和服务，如该断点在某个服务中被触发，会引发单步异常，该进程活服务即被终止。
对策
安装Windows 2000的Service Pack 3。 

21.drwtsn32.exe文件漏洞
漏洞描述
drwtsn32.exe文件的故障使文件默认权限设置不当，可能导致敏感信息泄漏。
解释
drwtsn32.exe(Dr. Watson)是Windows系统内置的程序错误调试器，在默认状态下，出现程序错误时Dr. Watson 将自动启动，除非系统安装VC等其他具有调试功能的软件。
由于user.dmp中存储内容为当前用户的部分内存镜像，因此可导致各种敏感信息泄漏，如帐号、口令、邮件、浏览过的网页和编辑的文件等，具体取决于崩溃的应用程序和在此之前用户进行的操作。由于多种原因可导致Windows系统崩溃，因此无法排除恶意用户利用该漏洞获取非授权信息的可能。
对策
(1)输入不带参数的drwtsn32，更改故障文件至特权路径或取消“建立故障转储文件”选项。
(2)删除注册表项“[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\ AeDebug]”下的相关键值。
(3)使用其他调试工具。 

22.快捷方式漏洞
漏洞描述
Windows快捷方式可导致本地拒绝服务和用户口令散列值泄漏及执行恶意程序。
解释
Windows快捷方式即扩展名为lnk、pif或url的文件。其中url文件为纯文本格式，lnk和pif文件为二进制文件。这三种快捷方式均可自定义图标文件，当将图标文件名设置为Windows的默认设备名时，由于设备名称解析漏洞，可导致Windows9X系统崩溃。由于图标搜索由资源浏览器自动完成，因此只需快捷方式在资源管理器中出现，即可导致系统崩溃。
对于Windows NT/2000系统不会由于设备名称解析而崩溃，但如创建一个完全由ASCII字符填充组成的pif文件时会出现很多故障，如下所述：
对一个大于369字节的非法pif文件调用查看属性的“程序”页时，资源管理器会出错，提示“"0x77650b82"指令引用的"0x000000000"内存。该内存无法为‘read’”，但该错误不会引发缓冲溢出的安全问题。
对策
不轻易将邮件附件导出，尤其不导出至桌面，不轻易打开邮件中的各种快捷方式附件。 

23.UTF漏洞
漏洞描述
IIS 存在 UTF 目录遍历漏洞，攻击者利用该漏洞执行任意代码。
解释
IIS一般会阻断 HTTP 请求中对Web 根目录外文件的访问，但通过使用特殊的 UTF 编码，攻击者可绕过过滤机制非法访问系统文件，并执行任意代码。
利用该漏洞，远程攻击者通过Web客户端能以IUSR_machinename 帐号身份访问系统文件。
对策
安装Windows 2000的Service Pack 4。 

24.IIS 5.0 SEARCH方法远程攻击漏洞
漏洞描述
IIS 5.0的 SEARCH方法存在漏洞，易导致远程攻击。
解释
WebDAV是HTTP协议的扩展，允许远程编写和管理Web内容。微软IIS 5.0的WebDAV在处理某些畸形的请求时存在缺陷，当提交超长的SEARCH请求时

上一个：Win2000故障解决一览
下一个：Windows 2000系统漏洞(上)