据BizTech报道,微软公司昨天公布了Windows中发现的严重安全漏洞。受其影响的系统包括Windows NT Server 4.0/NT Server 4.0 TSE(Terminal Server Edition)/2000/XP/Server 2003。如果有人向机器发送做了手脚的RPC(远程程序调用)信息,就有可能在机器上运行任意程序和命令。对策是利用“Widnows Update”等方法安装补丁程序。由于严重等级为最高的“紧急”级,因此必须尽快采取措施。
同时,还在Windows XP中还发现了其他安全漏洞。由于ISA Sever的安全漏洞也已公开,因此还必须对此采取措施。
NT/2000/XP/Server 2003的RPC使用中存在漏洞
在Windows NT/2000/XP/Server 2003中发现的是有关RPC使用的安全漏洞。RPC是指在相同或不同的机器上运行的程序之间为了通信而使用的协议。如果有人向TCP 135端口发送做了手脚的RPC信息,将会因无法正确处理而引发缓存溢出。
结果就可能在机器上运行任意代码(程序或命令)。由于代码是在称为本地系统(Local System)权限的较高权限下运行,因此攻击者就能够随意操纵对象机器。不仅能够盗取机器中的文件,还能够篡改文件、格式化硬盘以及生成具有管理员权限的帐户等所有操作,事实上等于完全控制了机器。
除直接向TCP 135端口发送信息外还有其他攻击方法。据微软公布的信息称,直接登录攻击对象机器,或利用采用了RPC协议的应用程序,都能恶意使用此安全漏洞。
其对策是安装补丁程序。可从微软安全信息页面或通过“Windows Update”安装。补丁程序可分别在Windows NT Server 4.0 Service Pack(SP)6a/NT Server 4.0 TSE SP6/2000 SP3或SP4/XP或XP SP1/Server 2003环境中安装。由于该漏洞非常严重,因此必须尽快采取对策。补丁程序可卸载。
另外,如果利用LAN防火墙等关闭135端口,将不会受到外部攻击。建议管理员重新确认135端口等不用的端口是不是已经完全关闭。不过,由于无法防止来自LAN内部的攻击,因此即便关闭135端口,也必须安装补丁程序。
此外,在Windows XP和Windows Server 2003中,使用“Dcomcnfg.exe”把DCOM设置为无效就能够避免受到攻击。具体方法在微软公开的信息中有详述。不过,如果把DCOM设置为无效,那么过去运行的应用程序有可能无法运行。因此最好是安装补丁来避免受到攻击。
作为受此安全漏洞影响的Windows OS,在微软公开信息中提到的是“Microsoft Windows NT 4.0”,但日本微软的概要信息中则说的是“Windows NT Server 4.0”。为此笔者咨询了日本微软,得到的答复是,由于6月30日已经停止对Windows NT Workstation 4.0的支持,因此没有对此进行测试,不知道是否受影响。因此,没说“Windows NT 4.0”,而用了“Windows NT Server 4.0”。
尽管在微软公开信息中说Windows Me不受影响,但是没有提到Windows 98。为此笔者咨询了日本微软,据说Windows 98也不受影响。没有明确表示的原因是因为,从7月1日以后将不再公布Windows 98补丁程序。安全补丁程序尽管会免费提供到2004年1月16日,但是仅以咨询用户为对象。像过去一样并不在安全信息中公开。
Windows XP SP1中还发现其他安全漏洞
同一天,日本微软还公布了只有安装了SP1的Windows XP会受影响的安全漏洞。而没有安装SP1的Widnows XP则不受影响。包含于Windows XP的Windows Shell所具有的、用于显示文件和文件夹属性的功能中,发现了缓存溢出的安全漏洞。因此,如果对显示属性时读取的“Desktop.ini”做了手脚,就有可能运行任意代码。
具体来说就是,如果打开含有做了手脚的Desktop.ini的网络共享文件夹,那么就会运行写入Desktop.ini中的代码。代码将在该用户权限下运行。
尽管是一种可运行任意代码的严重安全漏洞,但是要想实施攻击,必须在对象用户访问的网络共享文件夹中设置“圈套”。而不能通过发送分组信息和邮件等直接进行攻击。因此,此安装漏洞的严重等级被定为第二位的“重要”级。
其对策是安装补丁程序。可以通过微软安全信息页面或“Windows Update”安装。补丁程序可卸载。
微软在公开的信息中提醒用户注意,如果下载了可疑的Desktop.ini,不要试图在Explorer中删除。因为为了删除而访问文件夹时,Desktop.ini会被自动读入,如果Desktop.ini被人做了手脚,就会受到攻击。下载以后,就像信息中所写的那样,必须由“命令提示符”利用“del”命令来删除。
ISA Server中发现跨站脚本执行的漏洞
在微软的代理服务器(防火墙、缓存服务器)产品“Internet Security and Acceleration(ISA)Server 2000”中,发现了跨站脚本执行的安全漏洞。ISA Server所含的错误页面中,大多存在跨站脚本执行的安全漏洞。即便作为对ISA Server的请求而发送的URL中含在脚本,如果不对此进行检查,就会直接输入错误页面中进行显示。
如果恶意使用此安全漏洞,只要用户点击Web页面和邮件中做了手脚的链接,就会在用户信赖的站点安全设置条件下被人发送并运行脚本,或者被盗取Cookie。
此安全漏洞的严重等级为第二级的“重要”。管理员必须安装补丁程序加以解决。可通过微软安全信息页面下载补丁程序。补丁程序可卸载。
