PersonalCorpus 版 (精华区)

发信人: fiag (大饼), 信区: Windows
标  题: WINDOWS最危险的十个漏洞!
发信站: 哈工大紫丁香 (2003年01月31日10:53:14 星期五), 站内信件

阅读:476次

　     专职的网络和系统安全管理人员在日复一日的进行着补丁更新、系统升级，每天都
要重复安全警告、硬件故障、漏洞扫描以及密码反破解等工作，但很有必要从这些烦杂的
琐事中抽身出来，认真了解一下到底哪些才是网络安全的最大敌人，只有这样你才能了解
是否浪费资源或是忽略了关键问题。   

    SANS（System Administration， Networking， Security-系统管理、网络和安全学
会）和NIPC（国家基础保护中心）在最近联合发布了与互联网相关的SANS/FBI 20大系统安
全威胁列表。（注一） 

    经验丰富的网络管理员可以参考这份安全威胁列表，针对以往工作中可能疏漏的地方
，在各自管理的网络和系统中进行一次快速、彻底的清查，同时这份列表对于刚接触网络
管理工作的工作人员更有帮助，可以按图索骥地查找各种可能存在的系统漏洞和危险，以
便能够及时关掉最危险的漏洞。 

    这篇文章强集中讨论列表中涉及的Windows系统漏洞，还包括SANS建议关闭的防火墙管
理端口以防止大多数的攻击，帮助管理员有足够的时间来安装合适的补丁软件。

    如果要得到更多的参考资料，请访问2002年5月2日发布的Top 20 List 以及2001年发
布的Top 10 list。

    Windows 漏洞

    来自SANS/FBI联合发表的报告并非只是简单的列表。它提供了关于漏洞和如何解决的
颇有价值的信息。用户可以根据这份原创报告来找出更多的特定漏洞。

    以下列出了以往找出的Windows系统存在重大漏洞的服务名单：

W1 IIS（互联网信息服务器） 
W2 微软数据访问部件（MDAC）－远程数据服务 
W3 微软SQL Server 
W4 NETBIOS－不受保护的Windows网络共享 
W5 匿名登入 -- Null Sessions（空会话，注二） 
W6 LAN Manager 身份认证 －易被攻击的LAN Manager口令散列（注三） 
W7 一般Windows身份认证－帐户密码太脆弱或干脆为空 
W8 IE浏览器漏洞 
W9 远程注册表访问 
W10 WSH（Windows脚本主机服务）

    让我们进一步了解上述漏洞。


    1. IIS服务器

    微软的IIS服务器存在缓存溢出漏洞，它难以合适地过滤客户端请求，执行应用脚本的
能力较差。部分问题可以通过已发布的补丁解决，但每次IIS的新版本发布都带来新的漏洞
，因此IIS出现安全漏洞并不能完全归罪于网管的疏漏。建议管理人员运行HFNetChk来检查
目前可更新的补丁。   

    适用性说明——Windows NT 4运行 IIS 4， Windows 2000 运行IIS 5，Windows XP 
Pro运行 IIS 5.1 。 

    修复方法——安装补丁文件。为你的系统安装最新的IIS补丁，并在IIS中排除恶意用
户的访问IP地址（相关解释见：http://www.microsoft.com/technet/security/tools/url
scan.asp）。删除IIS中缺省支持的ISAPI扩展名，诸如：.htr、.idq、.ism以及.printer
，这些可执行脚本的扩展名在IIS安装时缺省支持，但用户很少会需要它们。删除\inetput
\wwwroot\scripts目录中的脚本样本文件。同样，在进行IIS安装时不要安装远程管理工具
。 

    2. MDAC

    微软数据访问部件的远程数据服务单元有一个编码错误，远程访问用户有可能通过这
一漏洞获得远程管理的权限，并有可能使数据库遭到外部匿名攻击。

    适用性说明——NT 4.0系统运行IIS 3.0和4.0，RDS 1.5或是 VS 6.0。

    修复方法——升级MDAC到2.1或更新的版本，或者基于以下发布的方法进行系统配置：


    Q184375 
    MS98-004 
    MS99-025

    从上述公告发布的时间可以看出，这些漏洞是所谓的well-know (著名的) 漏洞。实际
上上述漏洞常被用来攻击Windows网络 ，尤其是那些较早的系统。

    3. 微软SQL数据库

    Internet Storm Center始终在警告用户微软SQL数据库的1433端口是攻击者必定扫描
的十大现存漏洞端口之一。

    适用性说明——SQL服务器7.0，SQL服务器2000以及SQL桌面安装版本。

    修复方法——根据各自的系统安装下面的其中一个补丁：

    SQL Server 7.0 服务包 4 
    SQL Server 2000 服务包 2

    4. NETBIOS/Windows网络共享
    由于使用了服务器信息块(SMB) 协议或通用互联网文件系统(CIFS)，将使远程用户可
以访问本地文件，但也向攻击者开放了系统。

    适用性说明——所有的windows系统。

    风险——肆虐一时的Sircam和Nimda蠕虫病毒都利用这一漏洞进行攻击和传播，因此用
户对此绝对不能掉以轻心。

    修复方法——限制文件的访问共享，并指定特定IP的访问限制以避免域名指向欺骗。
关闭不必要的文件服务，取消这一特性并关闭相应端口。

    注一：SANS（System Administration， Networking， and Security-系统管理、网
络和安全学会）SANS和FBI已经陆续联合发表多个网络安全危险名单，这似乎已经成了一个
惯例。

    注二：Null Session被认为是WIN2K自带的一个后门。当建立一个空会话之后，对于一
台配置不到位的WIN2K服务器来说，那么将能够得到非常多的信息，比如枚举帐号等等。更
详细的解释请参照：
http://www.20cn.net/ns/hk/hacker/data/20020819051358.htm

    注三：微软在Windows NT 和 2000系统里缺省安装了LAN Manager口令散列。由于LAN 
Manager使用的加密机制比微软现在的方法脆弱，LAN Manager的口令能在很短的时间内被
破解。



    5. 匿名登录

    Window操作系统的帐户服务至关重要，但一旦用户通过匿名登录进程(空对话)后就可
以匿名访问其它系统中的文件。不幸的是，这意味着攻击者也可以匿名进入系统。   

    适用性说明——Windows NT， 2000以及XP系统 

    修复方法——用户唯一可以补救的就是修改注册表限制这一潜在的威胁。在SANS的列
表中提出了若干建议可供参考执行。 

    6. LAN Manager身份认证(易被攻击的LAN Manager口令散列)

    尽管Windows的大多数用户不再需要LAN Manager的支持，微软还是在Windows NT 和 
2000系统里缺省安装了LAN Manager口令散列。由于LAN Manager使用的早期加密机制比微
软现在的方法脆弱，即使相当强健的LAN Manager的口令也能在很短的时间内被破解。

    适用性说明——所有的Windows操作系统: 缺省安装的Windows NT，Windows 2000，Wi
ndows XP都存在这一漏洞。

    修复方法——只要用户用不到它，就尽快取消LM认证支持， 具体详情还可以参照以下
内容:

    "如何取消NT系统的LM审核功能" [Q147706] 
    "LM兼容级别和影响" [Q175641] 
   "如何在Windows 95/98/2000及NT系统中支持NTLM 2审核" [Q239869] 
    "在活动目录和安全帐户管理的注册表键值中取消LM Hash审核" [Q299656]

    7. Window 密码

    脆弱的密码是管理人员的心腹大患。尽管各种系统设置都要求用户使用足够强壮的密
码并进行定期更换，但用户往往抱怨系统管理员做出的各种限制，这就引发了访问控制的
脆弱性。

    既然这一漏洞名列第七大系统漏洞，系统管理员就可以理直气壮地要求用户遵守足够
强壮的密码策略。

    适用性说明——所有使用密码保护的系统和应用软件。

    修复方法——笔者不想再赘述其他的密码建立和保护途径，这属于用户和管理方面的
问题。谁都不会忽略强壮密码的重要性，但关键是如何把这一原则贯彻始终。

    8. IE浏览器

    对于IE浏览器的用户有以下几个方面的威胁
    ActiveX控件 
    脚本漏洞 
    MIME 类型和内容的误用 
    缓存区溢出

    风险——Cookies 和其它本地文件有可能被利用来威胁系统安全，恶意代码有可能趁
虚而入安装并运行，甚至恶意代码可以执行删除和格式化硬盘的命令。

    修复方法——升级并安装补丁文件。微软不再支持版本早于5.01的IE浏览器，因此用
户必须升级到5.01或更高版本。完成浏览器升级到IE5.01或5.5后，安装IE 5.01服务包2或
IE 5.5服务包2 。然后安装安全补丁的最新累积版本Q32375。

    9. 注册表访问

    在任何Windows系统中，注册表都是最重要的文件，而允许远程访问注册表将带来很大
危害。

    适用性说明——所有的Windows版本：在NT Resource Kit（资源套件）中有一个软件 
regdump.exe ，可以用来测试系统是否开放了远程注册表访问权限。

    修复方法——限制访问：这并非是软件的bug，而是Windows系统所具备的一个特性，
因此用户必须通过限制访问权限来避免潜在的威胁。

    微软知识库的文章Q153183说明了如何限制远程访问NT系统注册表，而SANS/FBI报告中
也提到了几种方法来限制授权和非授权的远程注册表访问。

    10. WSH （Windows脚本主机服务

    用VB来编辑宏非常方便，但类似爱虫和其它VB脚本蠕虫病毒却可以给用户系统带来难
以预见的灾难，用户无意间下载的该类恶意脚本文件，很可能通过WSH服务自动在系统中执
行。

    适用性说明——任何Windows系统

    修复方法——取消WSH：按赛门铁克公司Symantec或Sophos）提供的方法取消系统中WS
H服务，这样恶意VB脚本就无法自动执行了。然后运行反病毒软件并保证病毒定义库的同步
更新，以降低此类安全问题的风险。

    结语:

    用户要时刻谨记，上面提到的内容很可能就是那些黑客尤其是Script Kiddies(指那些
只会用别人编写的程序和代码进行漏洞扫描和攻击的人)所知道的漏洞和入口。恶意攻击者
会最先对上述漏洞下手，因此建议你参照上述内容及时对系统进行升级和修复。
　 
 
--
                                                                                                    
                         _//|.-~~~~-,
 ╔════════╗  _/66  \       \_@
 ║我是笨猪我怕谁?!║ (")_   /   /   |                                                                                              
 ╚════════╝   '--'|| |-\  /
                           //_/ /_/

※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 210.46.79.17]