由於Windows NT/2000操作系統的普及率和市場占有率比較高,所以很容易使它成為很多黑客攻擊的目標。目前,Windows NT/2000最主要的漏洞有Unicode漏洞、.ida/.idq緩沖區溢出漏洞、Microsoft IIS CGI文件名錯誤解碼漏洞、MSADCS RDS弱點漏洞、
FrontPage服務器擴展和.Printer漏洞等等。下面筆者將對這些漏洞的原理、危害程度、檢測和解決辦法分別進行介紹。
一、Unicode漏洞 1.漏洞危害 在Unicode字符解碼時,IIS 4.0/5.0存在一個安全漏洞,導致用戶可以遠程通過IIS執行任意命令。當用戶用IIS打開文件時,如果該文件名包含Unicode字符,系統會對其進行解碼。如果用戶提供一些特殊的編碼,將導致IIS錯誤地打開或者執行某些Web根目錄以外的文件。未經授權的用戶可能會利用IUSR_Machinename賬號的上下文空間訪問任何已知的文件。該賬號在默認情況下屬於Everyone和Users組的成員,因此任何與Web根目錄在同一邏輯驅動器上的能被這些用戶組訪問的文件都可能被刪除、修改或執行。通過此漏洞,您可查看文件內容、建立文件夾、刪除文件、拷貝文件且改名、顯示目標主機當前的環境變量、把某個文件夾內的全部文件一次性拷貝到另外的文件夾去、把某個文件夾移動到指定的目錄和顯示某一路徑下相同文件類型的文件內容等等。
2.漏洞成因 Unicode漏洞的成因可大致榻嵛? 從中文Windows IIS 4.0+SP6開始,還影響中文Windows 2000+IIS 5.0、中文Windows 2000+IIS5.0+SP1。台灣繁體中文也同樣存在這樣的漏洞。它們利用擴展Unicode字符(如利用“../”取代“/”和“\”)進行目錄遍歷漏洞。據了解,在Windows NT中編碼為%c1%9c,在Windows 2000英文版中編碼為%c0%af。
3.漏洞檢測
首先,對網絡內IP地址為*.*.*.*的Windows NT/2000主機,您可以在IE地址欄輸入http:// *.*.*.*/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir(其中%c1%1c為Windows 2000漏洞編碼,在不同的操作系統中,您可使用不同的漏洞編碼),如漏洞存在,您還可以將Dir換成Set和Mkdir等命令。
其次,您要檢測網絡中某IP段的Unicode漏洞情況,可使用有如Red.exe、SuperScan、RangeScan掃描器、Unicode掃描程序Uni2.pl及流光Fluxay4.7和SSS等掃描軟件來檢測。
4.解決方法
若網絡內存在Unicode漏洞,可采取如下方法進行補救:
(1)限制網絡用戶訪問和調用CMD命令的權限;
(2)若沒必要使用SCRIPTS和MSADC目錄,刪除或改名;
(3)安裝Windows NT系統時不要使用默認WINNT路徑,您可以改為其他的文件夾,如C:\myWindowsnt;
(4)用戶可從如下地址下載Microsoft提供的補丁:
http://www.microsoft.com/ntserve ... q269862/default.ASP為IIS 4.0的補丁地址,
http://www.microsoft.com/Windows ... q269862/default.ASP為IIS 5.0補丁地址。
二、.ida/.idq緩沖區溢出漏洞
1.漏洞危害及成因 作為安裝IIS過程的一部分,系統還會安裝幾個ISAPI擴展.dlls,其中idq.dll是Index Server的一個組件,對管理員腳本和Internet數據查詢提供支持。但是,idq.dll在一段處理URL輸入的代碼中存在一個未經檢查的緩沖區,攻擊者利用此漏洞能導致受影響服務器產生緩沖區溢出,從而執行自己提供的代碼。更為嚴重的是,idq.dll是以System身份運行的,攻擊者可以利用此漏洞取得系統管理員權限。
2.解決方法 用戶可以分別到
http://www.microsoft.com/Downloads/Release.ASP?ReleaseID=30833和
http://www.microsoft.com/Downloads/Release.ASP?ReleaseID=30800處下載補丁,或刪除對.idq和.ida的腳本映射。如果其他系統組件被增刪,有可能導致該映射被重新自動安裝。
注意:安裝Index Server或Index Services而沒有安裝IIS的系統無此漏洞;另外,即使Index Server/Indexing Service沒有開啟,但是只要對.idq或.ida文件的腳本映射存在,攻擊者也能利用此漏洞。受影響平台有Windows NT 4.0、Windows 2000、Windows XP beta; 受影響的版本有Microsoft Index Server 2.0、Indexing Service in Windows 2000。
三、Microsoft IIS CGI 文件名錯誤解碼漏洞 1.漏洞危害及成因 IIS在加載可執行CGI程序時,會進行兩次解碼。第一次解碼是對CGI文件名進行Http解碼,然後判斷此文件名是否為可執行文件,如檢查後綴名是否為“.exe”或“.com”等。在文件名檢查通過之後,IIS會進行第二次解碼。正常情況下,應該只對該CGI的參數進行解碼,然而,當漏洞被攻擊後,IIS會錯誤地將已經解過碼的CGI文件名和CGI參數一起進行解碼。這樣,CGI文件名就被錯誤地解碼兩次。通過精心構造CGI文件名,攻擊者可以繞過IIS對文件名所做的安全檢查。在某些條件下,攻擊者可以執行任意系統命令。
2.漏洞檢測 該漏洞對IIS 4.0/5.0(SP6/SP6a沒有安裝)遠程本地均適用,您可通過前文所述的SSS軟件進行測試。
3.解決方法 如果您的主機有此漏洞,可在
http://www.microsoft.com/Downloads/Release.ASP?ReleaseID=29787處下載補丁。
四、MSADCS RDS弱點漏洞 1.漏洞危害 雖然MSADCS RDS弱點漏洞對許多黑客來說已經有點兒過時,不過,對於網絡上一些粗心大意的網管來說,還是有為數眾多的機器並沒有針對這個漏洞進行防堵。
該漏洞可以導致攻擊者遠程執行用戶系統的命令,並以設備用戶的身份運行。
2.漏洞成因 此漏洞是因Windows NT 4.0 Option Pack中的組件MDAC(即Microsoft Data Access Components)引起的,它包含了一項RDS(Remote Data Service)的功能。RDS是Microsoft提供給使用者遠程訪問數據庫的服務,它能夠讓使用者透過ODBC遠程存取/查詢服務器數據庫中的數據信息,而在IIS服務器中,還能夠讓使用者通過一個位於/msadc虛擬目錄內名為msadcs.dll的文件提供RDS服務,以便與遠程使用者溝通。
3.漏洞檢測 用戶可使用Shadow Security Scanner 5.35(本文簡稱SSS)、流光Fluxay 4.7、Nmap以及SuperScan或MSADC2.PL(Perl程序,執行需要ActivePerl環境,您可去雨林小狗網站下載,網址為
http://www.wiretrip.Net/rfp)來進行測試,也可以通過以下辦法測試本機是否存在這個漏洞。
c:\>nc -nw -w 2 <目標機> 80
GET /msadc/msadcs.dll HTTP
4.解決方法 其實,Microsoft對關於Msadc的問題發了3次以上的補丁,但仍然存在問題。
筆者認為最好的辦法是:通過移除或刪除系統內/msadc目錄,同時移除c:\Program Files\Common Files\System\Msadc\msadcs.dll,或安裝MDAC 2.1 SP2補丁(下載網址為
http://www.microsoft.com/data/download.htm),並注意及時上網更新。
五、FrontPage 服務器擴展漏洞
1.漏洞危害 該漏洞對網站構成嚴重威脅,可以讓入侵者輕易地獲得整個網站的信息。
2.漏洞成因 對於安裝Frontpage服務器的網站,通常會在Web目錄(缺省)下有若干個以字母“_vti”開頭的目錄,正是這些目錄隱藏了潛在的攻擊性。當用戶在任何常用的搜索引擎上搜索默認的FrontPage目錄時,會得到大量從引擎上返回的信息,這時,給入侵者一可乘之機,使他們得以對服務器進行簡單而又反復的攻擊。
對攻擊者來說,此漏洞可使他們獲得被攻擊方的Frontpage口令文件、通過FrontPage擴展名執行任意二進制文件,以及通過用_vti_cnf替換index.Html,即入侵者能看到該目錄下的所有文件,並有可能獲得訪問權限等。
3.解決方法 如對目錄定義許可、移去某些目錄、設置用戶密碼或不安裝FrontPage擴展服務器等。
六、.Printer漏洞 1.漏洞危害及成因
此漏洞只存在於運行IIS 5.0的Windows 2000服務器中。由於IIS 5的打印ISAPI擴展接口建立了.printer擴展名到Msw3prt.dll的映射關系(缺省情況下該映射也存在),當遠程用戶提交對.printer的URL請求時,IIS 5.0會調用Msw3prt.dll解釋該請求,加之Msw3prt.dll缺乏足夠的緩沖區邊界檢查,遠程用戶可以提交一個精心構造的針對.printer的URL請求,其“Host:”域包含大約420B的數據,此時在Msw3prt.dll中發生典型的緩沖區溢出,潛在地允許執行任意代碼。在溢出發生後,Web服務會停止用戶響應,而Windows 2000將接著自動重啟它,進而使得系統管理員很難檢查到已發生的攻擊。
2.漏洞檢測 針對.Printer漏洞的檢測軟件很多,如easyscan(http:// www.Netguard.com.cn)、x-scaner(http:// www.xfocus.org )和SSS等。
3.解決方法 可通過安裝Microsoft漏洞補丁
http://www.microsoft.com/Downloads/...ReleaseID=29321來解決此影響系統的安全問題
