Windows 2000系统漏洞(上)

1.输入法漏洞
漏洞描述
通过该漏洞用户可浏览计算机上的所有文件，且可执行net.exe命令添加Administrator级别的管理员用户，从而完全控制计算机。
解释
在Windows 2000的登陆窗口中，按Ctrl+Shift键，切换至全拼输入法。在输入法状态条上按鼠标右键，选择“帮助”的“输入指南”，然后选择“选项”，按右键选择“跳转到URL”命令，随后即可输入各类命令。如使用系统的“net”命令，即可添加系统管理员用户，随后即可通过该帐户登录。
对策
(1)卸载不用的输入法，并删除输入法的帮助文件。
(2)安装Windows 2000的Service Pack 1以上的版本。 

2.Unicode漏洞
漏洞描述
攻击者可通过IE浏览器远程运行被攻击计算机的cmd.exe文件，从而使该计算机的文件暴露，且可随意执行和更改文件。
解释
Unicode标准被很多软件开发者所采用，无论何种平台、程序或开发语言，Unicode均为每个字符提供独一无二的序号，如向IIS服务器发出包括非法Unicode UTF-8序列的URL，攻击者可使服务器逐字“进入或退出”目录并执行任意程序，该攻击即称为目录转换攻击。
Unicode用“%2f”和“%5c”分别代表“/”和“\”字符，但也可用“超长”序列来代替这些字符。“超长”序列是非法的Unicode表示符，如用“%c0%af”代表“/”字符。由于IIS不对超长序列进行检查，因此在URL中添加超长的Unicode序列后，可绕过微软的安全检查，如在一个标记为可执行的文件夹发出该请求，攻击者即可在服务器上运行可执行文件。
对策
(1)为避免该类攻击，建议下载最新补丁，网址如下所述
http://www.microsoft.com/technet/security/bulletin/MS00-078.asp
(2)安装IIS Lockdown和URL Scan来加固系统，从而避免该类攻击。
IIS Lockdown的下载地址如下所述
http://www.microsoft.com/technet/security/tools/locktool.asp
URLScan的下载地址如下所述
http://www.microsoft.com/technet/security/URLScan.asp
(3)安装Windows 2000的Service Pack 2以上的版本。 

3.ISAPI 缓冲区扩展溢出漏洞

漏洞描述
攻击者向装有IIS5.0的Windows 2000服务器发送特定数据，造成缓冲区溢出，从而控制IIS服务器，甚至获取服务器的最高权限。
解释
IIS是在很多Windows NT和Windows 2000系统中使用的服务器软件。安装IIS后会自动安装多个ISAPI extensions。
ISAPI，即Internet Services Application Programming Inte易做图ce，允许开发人员使用DLL扩展IIS服务器性能，然而某些动态连接库，如“IDQ.DLL”存在错误，使其进行不正确的边界检查。当外部攻击实施向ISAPI扩展发送特定参数的“Buffer Over Run”攻击时，即可从外部执行服务器的所有程序。
IDQ.DLL缓冲区溢出漏洞将影响Microsoft Index Server 2.0和Windows 2000中的Indexing Service，而打印机缓冲区溢出漏洞将影响Windows 2000 Server、Advanced Server 和安装IIS 5.0的Server Data Center Edition。
对策
(1)管理员应及时检查并取消不需的ISAPI扩展，并使让系统运行于工作所需的最少服务状态中。
(2)下载补丁程序，网址如下所述
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp
(3)安装Windows 2000的Serive Pack 2以上的版本。 

4.MS SQL Server的SA空密码漏洞
漏洞描述
攻击者可在安装MS SQL Server的Windows 2000服务器上新建Administrators组用户。
解释
在Windows 2000中，企业级用户一般均使用微软的数据库管理软件 MS SQL Server，在安装MS SQL Server后，会将产生默认的SA用户，且初始密码在管理员未设置的情况下为空，但SA为SQL Server中非常重要的安全模块成员，因此入侵者即可通过SQL Server客户端进行数据库远程连接，然后通过SQL的远程数据库管理命令进行命令操作，从而在MS SQL Server服务器上新建管理员级别的Administrators组用户。
对策
(1)安装SQL Server后应立即修改SA的空密码。
(2)安装Windows 2000的Service Pack 3。


5.系统管理权限漏洞
漏洞描述
操作系统权限有可能被登录至Windows 2000的普通用户所窃取。
解释
该漏洞发现于网络连接管理器(Network Connection Manager，即NCM)中，网络连接管理器是管理并设置系统网络连接的组件。在建立网络连接时，连接管理器将调用某个处理程序，，由于连接管理器中的安全漏洞，因此经过某些复杂的操作步骤，被调用的处理程序将在局部系统权限下运行，且有可能调用其他处理程序。
如作为处理程序而指定任意程序后，该程序将在局部系统权限下运行，而该权限即Windows系统自身的执行权限，且基本未受任何限制，因此在该权限下任何程序均可运行，普通用户即可控制整个系统。
对策
安装Windows 2000的Service Pack 3。 

6.路径优先漏洞
漏洞描述
本地攻击者可利用该漏洞在系统中放置木马，并以系统登录用户安全权限执行。
解释
Windows 2000在应用程序的绝对路径未指定的情况下会使用“Path”的系统变量进行搜索，而该搜索方法存在缺陷，本地攻击者可利用该漏洞在系统中放置木马，并以同系统登录用户的安全权限执行。
在Windows 2000中，默认对系统的“ROOT”文件夹提供“Everyone”组的全部访问权限。一般系统“ROOT”并未包含在搜索路径中，但在某些情况，如登录或应用程序直接“开始”菜单的“运行”菜单项调用时，其会包含在搜索路径中。该情况可导致攻击者使用木马程序对同一系统用户进行攻击，即通过在系统ROOT目录中建立和原系统程序相同名程的木马程序，然后等待其他用户登录系统和调用木马程序。
对策
微软目前还未推出相应的补丁程序，建议通过对系统ROOT目录设置权限来减小该漏洞的危害。 

7.NetDDE消息权限提升漏洞
漏洞描述
网络动态数据交换(Network Dynamic Data Exchange，即NetDDE)是一种在不同Windows应用程序间动态共享数据的技术，该共享通过受信任共享的通信通道完成，受信任共享由网络DDE代理服务管理。
本地机器的进程可向网络DDE代理发出请求，包括指定针对某个受信任共享应运行的应用程序，但由于网络DDE代理运行在本地系统用户的安全范围中并处理所有请求，因此攻击者可使网络DDE代理在本地系统用户的安全范围中执行其指定代码，从而提升权限并完全控制本地机器。
解释
Network DDE服务负责维护所有活动的网络DDE共享列表并管理NetDDE连接。当该服务启动时，在当前登录用户的桌面将创建隐藏的IPC窗口，用于和打开DDE特性的应用程序进行通信。该窗口名称为“NetDDE Agent”，类名为“NDDEAgent”，由于窗口由Winlogon创建，因此窗口过程将运行于Winlogon的进程空间中，并以SYSTEM的权限来处理消息。
“WM_COPYDATA”消息是该窗口所处理的消息之一，DDE用该消息将内存从进程传送送至另一个进程。WM_COPYDATA消息由“SendMessage”函数发送，并由底层消息子系统作为特殊情况进行处理。
当缓冲区的特殊数据传送至窗口过程时，将首先检查前12个字节的值，如不同，则消息处理过程将返回错误，否则即取出两个ASCII字符串并将其转换为Unicode串后检查共享名，以确保存在且为受信任的共享，但由于默认情况在系统中可存在多个受信任共享，因此可对其进行穷举，对每个共享名均尝试运行命令直至获取受信任的共享。
对策
(1)禁止DDE共享，但会导致某些须使用DDE共享的程序无易做图常工作。
(2)以管理员身份运行ddeshare.exe，删除不必要的受信任共享。
(3)下载并安装补丁程序，网址如下所述
英文版http://www.microsoft.com/Downloads/Release.asp?ReleaseID=27526 
中文版http://www.microsoft.com/Downloads/Release.asp?ReleaseID=27530 
(4)安装Windows 2000的Service Pack3。 

8.RDP拒绝服务漏洞
漏洞描述
向RDP服务端口提交多个畸形包会导致服务器崩溃。
解释
RDP(Remote Desktop Protocol)，即远程桌面协议，是终端服务器和客户端间的通信协议，其允许远程用户使用键盘和鼠标通过网络在应用程序间进行通信。Windows 2000的服务器和高级服务器版本在以终端服务器形式使用时易受到拒绝服务攻击。
向RDP服务端口提交多个畸形的包会导致服务器崩溃，未保存数据将丢失，需重启服务器才可恢复正常功能。
对策
(1)补丁下载，网址如下所述
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=27500
(2)安装Windows 2000的Service Pack 2以上的版本。 

9.域控制器拒绝服务漏洞
漏洞描述
提交至域控制器的大量无效请求将导致系统停止响应。
解释
Windows 2000域控制器存在拒绝服务的情况，使向域控制器提交大量的无效请求会导致系统停止响应。
开启了464号UDP端口的Windows 2000服务器容易收到UDP的Ping攻击，只需向该端口发送的数据包的源端口使用19号端口，即可使服务器的CPU占用率大为升高。
对策
(1)补丁下载，网址如下所述
http://www.microsoft.com/D

上一个：Windows 2000系统漏洞(中)
下一个：Windows应用小窍门(八)