Windows系统常见漏洞分析
由于windows NT/2000操作系统的普及率和市场占有率比较高,所以很容易使它成为很多黑客攻击的目标。目前,Windows NT/2000最主要的漏洞有Unicode漏洞、.ida/.idq缓冲区溢出漏洞、Microsoft IIS CGI文件名错误解码漏洞、MSADCS RDS弱点漏洞、FrontPage服务器扩展和.Printer漏洞等等。下面笔者将对这些漏洞的原理、危害程度、检测和解决办法分别进行介绍。
一、Unicode漏洞
1.漏洞危害
在Unicode字符解码时,IIS 4.0/5.0存在一个安全漏洞,导致用户可以远程通过iis执行任意命令。当用户用IIS打开文件时,如果该文件名包含Unicode字符,系统会对其进行解码。如果用户提供一些特殊的编码,将导致IIS错误地打开或者执行某些Web根目录以外的文件。未经授权的用户可能会利用IUSR_machinename账号的上下文空间访问任何已知的文件。该账号在默认情况下属于Everyone和Users组的成员,因此任何与Web根目录在同一逻辑驱动器上的能被这些用户组访问的文件都可能被删除、修改或执行。通过此漏洞,您可查看文件内容、建立文件夹、删除文件、拷贝文件且改名、显示目标主机当前的环境变量、把某个文件夹内的全部文件一次性拷贝到另外的文件夹去、把某个文件夹移动到指定的目录和显示某一路径下相同文件类型的文件内容等等。
2.漏洞成因
Unicode漏洞的成因可大致归结为: 从中文windows IIS 4.0+SP6开始,还影响中文Windows 2000+IIS 5.0、中文Windows 2000+IIS5.0+SP1。台湾繁体中文也同样存在这样的漏洞。它们利用扩展Unicode字符(如利用“../”取代“/”和“\”)进行目录遍历漏洞。据了解,在Windows NT中编码为%c1%9c,在Windows 2000英文版中编码为%c0%af。
3.漏洞检测
首先,对网络内IP地址为*.*.*.*的windows NT/2000主机,您可以在IE地址栏输// *.*.*.*/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir(其中%c1%1c为Windows 2000漏洞编码,在不同的操作系统中,您可使用不同的漏洞编码),如漏洞存在,您还可以将Dir换成Set和Mkdir等命令。
其次,您要检测网络中某IP段的Unicode漏洞情况,可使用有如Red.exe、SuperScan、RangeScan扫描器、Unicode扫描程序Uni2.pl及流光Fluxay4.7和SSS等扫描软件来检测。
4.解决方法
若网络内存在Unicode漏洞,可采取如下方法进行补救:
(1)限制网络用户访问和调用CMD命令的权限;
(2)若没必要使用SCRIPTS和MSADC目录,删除或改名;
(3)安装windows NT系统时不要使用默认WINNT路径,您可以改为其他的文件夹,如C:\mywindowsnt;
(4)用户可从如下地址下载Microsoft提供的补丁:t.asp为IIS 4.0的补丁地址,.asp为IIS 5.0补丁地址。
二、.ida/.idq缓冲区溢出漏洞
1.漏洞危害及成因
作为安装IIS过程的一部分,系统还会安装几个ISAPI扩展.dlls,其中idq.dll是Index Server的一个组件,对管理员脚本和Internet数据查询提供支持。但是,idq.dll在一段处理URL输入的代码中存在一个未经检查的缓冲区,攻击者利用此漏洞能导致受影响服务器产生缓冲区溢出,从而执行自己提供的代码。更为严重的是,idq.dll是以System身份运行的,攻击者可以利用此漏洞取得系统管理员权限。
2.解决方法
用户可以分别到?ReleaseID=30833和?ReleaseID=30800处下载补丁,或删除对.idq和.ida的脚本映射。如果其他系统组件被增删,有可能导致该映射被重新自动安装。
注意:安装Index Server或Index Services而没有安装IIS的系统无此漏洞;另外,即使Index Server/Indexing Service没有开启,但是只要对.idq或.ida文件的脚本映射存在,攻击者也能利用此漏洞。受影响平台有windows NT 4.0、Windows 2000、Windows XP beta; 受影响的版本有Microsoft Index Server 2.0、Indexing Service in windows 2000。
三、Microsoft IIS CGI 文件名错误解码漏洞
1.漏洞危害及成因
IIS在加载可执行CGI程序时,会进行两次解码。第一次解码是对CGI文件名进行Http解码,然后判断此文件名是否为可执行文件,如检查后缀名是否为“.exe”或”等。在文件名检查通过之后,IIS会进行第二次解码。正常情况下,应该只对该CGI的参数进行解码,然而,当漏洞被攻击后,IIS会错误地将已经解过码的CGI文件名和CGI参数一起进行解码。这样,CGI文件名就被错误地解码两次。通过精心构造CGI文件名,攻击者可以绕过IIS对文件名所做的安全检查。在某些条件下,攻击者可以执行任意系统命令。
2.漏洞检测
该漏洞对IIS 4.0/5.0(SP6/SP6a没有安装)远程本地均适用,您可通过前文所述的SSS软件进行测试。
3.解决方法
如果您的主机有此漏洞,可在?ReleaseID=29787处下载补丁。
四、MSADCS RDS弱点漏洞
1.漏洞危害
虽然MSADCS RDS弱点漏洞对许多黑客来说已经有点儿过时,不过,对于网络上一些粗心大意的网管来说,还是有为数众多的机器并没有针对这个漏洞进行防堵。
该漏洞可以导致攻击者远程执行用户系统的命令,并以设备用户的身份运行。
2.漏洞成因
此漏洞是因windows NT 4.0 Option Pack中的组件MDAC(即Microsoft Data Access Components)引起的,它包含了一项RDS(Remote Data Service)的功能。RDS是Microsoft提供给使用者远程访问数据库的服务,它能够让使用者透过ODBC远程存取/查询服务器数据库中的数据信息,而在IIS服务器中,还能够让使用者通过一个位于/msadc虚拟目录内名为msadcs.dll的文件提供RDS服务,以便与远程使用者沟通。
3.漏洞检测
用户可使用Shadow Security Scanner 5.35(本文简称SSS)、流光Fluxay 4.7、Nmap以及SuperScan或MSADC2.PL(Perl程序,执行需要ActivePerl环境,您可去雨林小狗网站下载,网址为)来进行测试,也可以通过以下办法测试本机是否存在这个漏洞。
c:\>nc -nw -w 2 <目标机> 80
GET /msadc/msadcs.dll HTTP
4.解决方法
其实,Microsoft对关于Msadc的问题发了3次以上的补丁,但仍然存在问题。
笔者认为最好的办法是:通过移除或删除系统内/msadc目录,同时移除c:\Program Files\Common Files\System\Msadc\msadcs.dll,或安装MDAC 2.1 SP2补丁(下载网址为),并注意及时上网更新。
五、FrontPage 服务器扩展漏洞
1.漏洞危害
该漏洞对网站构成严重威胁,可以让入侵者轻易地获得整个网站的信息。
2.漏洞成因
对于安装Frontpage服务器的网站,通常会在Web目录(缺省)下有若干个以字母“_vti”开头的目录,正是这些目录隐藏了潜在的攻击性。当用户在任何常用的搜索引擎上搜索默认的Frontpage目录时,会得到大量从引擎上返回的信息,这时,给入侵者一可乘之机,使他们得以对服务器进行简单而又反复的攻击。
对攻击者来说,此漏洞可使他们获得被攻击方的Frontpage口令文件、通过Frontpage扩展名执行任意二进制文件,以及通过用_vti_cnf替换l,即入侵者能看到该目录下的所有文件,并有可能获得访问权限等。
3.解决方法
如对目录定义许可、移去某些目录、设置用户密码或不安装Frontpage扩展服务器等。
六、.Printer漏洞
1.漏洞危害及成因
此漏洞只存在于运行IIS 5.0的windows 2000服务器中。由于IIS 5的打印ISAPI扩展接口建立了.printer扩展名到Msw3prt.dll的映射关系(缺省情况下该映射也存在),当远程用户提交对.printer的URL请求时,IIS 5.0会调用Msw3prt.dll解释该请求,加之Msw3prt.dll缺乏足够的缓冲区边界检查,远程用户可以提交一个精心构造的针对.printer的URL请求,其“Host:”域包含大约420B的数据,此时在Msw3prt.dll中发生典型的缓冲区溢出,潜在地允许执行任意代码。在溢出发生后,Web服务会停止用户响应,而windows 2000将接着自动重启它,进而使得系统管理员很难检查到已发生的攻击。
2.漏洞检测
针对.Printer漏洞的检测软件很多,如easyscan()、x-scaner()和SSS等。
3.解决方法
可通过安装Microsoft漏洞补丁来解决此影响系统的安全问题。
========
Windows 常见端口漏洞分析
99端口
99端口是用于一个名为“Metagram Relay”(亚对策延时)的服务,该服务比较少见,一般是用不到的。
端口漏洞:虽然“Metagram Relay”服务不常用,可是Hidden Port、NCx99等木马程序会利用该端口,比如在Windows 2000中,NCx99可以把cmd.exe程序绑定到99端口,这样用Telnet就可以连接到服务器,随意添加用户、更改权限。
操作建议:建议关闭该端口。
-------------------------------------
109、110端口
109端口是为POP2(Post Office Protocol Version 2,邮局协议2)服务开放的,110端口是为POP3(邮件协议3)服务开放的,POP2、POP3都是主要用于接收邮件的。
端口说明:109端口是为POP2(Post Office Protocol Version 2,邮局协议2)服务开放的,110端口是为POP3(邮件协议3)服务开放的,POP2、POP3都是主要用于接收邮件的,目前POP3使用的比较多,许多服务器都同时支持POP2和POP3。客户端可以使用POP3协议来访问服务端的邮件服务,如今ISP的绝大多数邮件服务器都是使用该协议。在使用电子邮件客户端程序的时候,会要求输入POP3服务器地址,默认情况下使用的就是110端口。
端口漏洞:POP2、POP3在提供邮件接收服务的同时,也出现了不少的漏洞。单单POP3服务在用户名和密码交换缓冲区溢出的漏洞就不少于20个,比如WebEasyMail POP3 Server合法用户名信息泄露漏洞,通过该漏洞远程攻击者可以验证用户账户的存在。另外,110端口也被ProMail trojan等木马程序所利用,通过110端口可以窃取POP账号用户名和密码。
操作建议:如果是执行邮件服务器,可以打开该端口。
-------------------------------------------
111端口
111端口是SUN公司的RPC(Remote Procedure Call,远程过程调用)服务所开放的端口,主要用于分布式系统中不同计算机的内部进程通信,RPC在多种网络服务中都是很重要的组件。
端口漏洞:SUN RPC有一个比较大漏洞,就是在多个RPC服务时xdr_array函数存在远程缓冲溢出漏洞,通过该漏洞允许攻击者传递超
113端口
113端口主要用于Windows的“Authentication Service”(验证服务)。
端口说明:113端口主要用于Windows的“Authentication Service”(验证服务),一般与网络连接的计算机都运行该服务,主要用于验证TCP连接的用户,通过该服务可以获得连接计算机的信息。在Windows 2000/2003 Server中,还有专门的IAS组件,通过该组件可以方便远程访问中进行身份验证以及策略管理。
端口漏洞:113端口虽然可以方便身份验证,但是也常常被作为FTP、POP、SMTP、IMAP以及IRC等网络服务的记录器,这样会被相应的木马程序所利用,比如基于IRC聊天室控制的木马。另外,113端口还是Invisible Identd Deamon、Kazimas等木马默认开放的端口。
119端口
119端口是为“Network News Transfer Protocol”(网络新闻组传输协议,简称NNTP)开放的。
端口说明:119端口是为“Network News Transfer Protocol”(网络新闻组传输协议,简称NNTP)开放的,主要用于新闻组的传输,当查找USENET服务器的时候会使用该端口。
端口漏洞:著名的Happy99蠕虫病毒默认开放的就是119端口,如果中了该病毒会不断发送电子邮件进行传播,并造成网络的堵塞。
操作建议:如果是经常使用USENET新闻组,就要注意不定期关闭该端口。
135端口
135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务。
端口说明:135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务,通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码;使用DCOM可以通过网络直接进行通信,能够跨包括HTTP协议在内的多种网络传输。
端口漏洞:相信去年很多Windows 2000和Windows XP用户都中了“冲击波”病毒,该病毒就是利用RPC漏洞来攻击计算机的。RPC本身在处理通过TCP/IP的消息交换部分有一个漏洞,该漏洞是由于错误地处理格式不正确的消息造成的。该漏洞会影响到RPC与DCOM之间的一个接口,该接口侦听的端口就是135。
操作建议:为了避免“冲击波”病毒的攻击,建议关闭该端口。
137端口
137端口主要用于“NetBIOS Name Service”(NetBIOS名称服务)。
端口说明:137端口主要用于“NetBIOS Name Service”(NetBIOS名称服务),属于UDP端口,使用者只需要向局域网或互联网上的某台计算机的137端口发送一个请求,就可以获取该计算机的名称、注册用户名,以及是否安装主域控制器、IIS是否正在运行等信息。
端口漏洞:因为是UDP端口,对于攻击者来说,通过发送请求很容易就获取目标计算机的相关信息,有些信息是直接可以被利用,并分析漏洞的,比如IIS服务。另外,通过捕获正在利用137端口进行通信的信息包,还可能得到目标计算机的启动和关闭的时间,这样就可以利用专门的工具来攻击。
操作建议:建议关闭该端口。
139端口
139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。
端口说明:139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。在Windows中要在局域网中进行文件的共享,必须使用该服务。比如在Windows 98中,可以打开“控制面板”,双击“网络”图标,在“配置”选项卡中单击“文件及打印共享”按钮选中相应的设置就可以安装启用该服务;在Windows 2000/XP中,可以打开“控制面板”,双击“网络连接”图标,打开本地连接属性;接着,在属性窗口的“常规”选项卡中选择“Internet协议(TCP/IP)”,单击“属性”按钮;然后在打开的窗口中,单击“高级”按钮;在“高级TCP/IP设置”窗口中选择“WINS”选项卡,在“NetBIOS设置”区域中启用TCP/IP上的NetBIOS。
端口漏洞:开启139端口虽然可以提供共享服务,但是常常被攻击者所利用进行攻击,比如使用流光、SuperScan等端口扫描工具,可以扫描目标计算机的139端口,如果发现有漏洞,可以试图获取用户名和密码,这是非常危险的。
操作建议:如果不需要提供文件和打印机共享,建议关闭该端口。
143端口
143端口主要是用于“Internet Message Access Protocol”v2(Internet消息访问协议,简称IMAP)。
端口说明:143端口主要是用于“Internet Message Access Protocol”v2(Internet消息访问协议,简称IMAP),和POP3一样,是用于电子邮件的接收的协议。通过IMAP协议我们可以在不接收邮件的情况下,知道信件的内容,方便管理服务器中的电子邮件。不过,相对于POP3协议要负责一些。如今,大部分主流的电子邮件客户端软件都支持该协议。
端口漏洞:同POP3协议的110端口一样,IMAP使用的143端口也存在缓冲区溢出漏洞,通过该漏洞可以获取用户名和密码。另外,还有一种名为“admv0rm”的Linux蠕虫病毒会利用该端口进行繁殖。
操作建议:如果不是使用IMAP服务器操作,应该将该端口关闭。
161端口
161端口是用于“Simple Network Management Protocol”(简单网络管理协议,简称SNMP)。
端口说明:161端口是用于“Simple Network Management Protocol”(简单网络管理协议,简称SNMP),该协议主要用于管理TCP/IP网络中的网络协议,在Windows中通过SNMP服务可以提供关于TCP/IP网络上主机以及各种网络设备的状态信息。目前,几乎所有的网络设备厂商都实现对SNMP的支持。
在Windows 2000/XP中要安装SNMP服务,我们首先可以打开“Windows组件向导”,在“组件”中选择“管理和监视工具”,单击“详细信息”按钮就可以看到“简单网络管理协议(SNMP)”,选中该组件;然后,单击“下一步”就可以进行安装。
端口漏洞:因为通过SNMP可以获得网络中各种设备的状态信息,还能用于对网络设备的控制,所以黑客可以通过SNMP漏洞来完全控制网络。
操作建议:建议关闭该端口。
443端口
43端口即网页浏览端口,主要是用于HTTPS服务,是提供加密和通过安全端口传输的另一种HTTP。
端口说明:443端口即网页浏览端口,主要是用于HTTPS服务,是提供加密和通过安全端口传输的另一种HTTP。在一些对安全性要求较高的网站,比如银行、证券、购物等,都采用HTTPS服务,这样在这些网站上的交换信息其他人都无法看到,保证了交易的安全性。网页的地址以https://开始,而不是常见的http://。
端口漏洞:HTTPS服务一般是通过SSL(安全套接字层)来保证安全性的,但是SSL漏洞可能会受到黑客的攻击,比如可以黑掉在线银行系统,盗取信用卡账号等。
操作建议:建议开启该端口,用于安全性网页的访问。另外,为了防止黑客的攻击,应该及时安装微软针对SSL漏洞发布的最新安全补丁。
554端口
554端口默认情况下用于“Real Time Streaming Protocol”(实时流协议,简称RTSP)。
端口说明:554端口默认情况下用于“Real Time Streaming Protocol”(实时流协议,简称RTSP),该协议是由RealNetworks和Netscape共同提出的,通过RTSP协议可以借助于Internet将流媒体文件传送到RealPlayer中播放,并能有效地、最大限度地利用有限的网络带宽,传输的流媒体文件一般是Real服务器发布的,包括有.rm、.ram。如今,很多的下载软件都支持RTSP协议,比如FlashGet、影音传送带等等。
端口漏洞:目前,RTSP协议所发现的漏洞主要就是RealNetworks早期发布的Helix Universal Server存在缓冲区溢出漏洞,相对来说,使用的554端口是安全的。
操作建议:为了能欣赏并下载到RTSP协议的流媒体文件,建议开启554端口。
1024端口
1024端口一般不固定分配给某个服务,在英文中的解释是“Reserved”(保留)。
端口说明:1024端口一般不固定分配给某个服务,在英文中的解释是“Reserved”(保留)。之前,我们曾经提到过动态端口的范围是从1024~65535,而1024正是动态端口的开始。该端口一般分配给第一个向系统发出申请的服务,在关闭服务的时候,就会释放1024端口,等待其他服务的调用。
端口漏洞:著名的YAI木马病毒默认使用的就是1024端口,通过该木马可以远程控制目标计算机,获取计算机的屏幕图像、记录键盘事件、获取密码等,后果是比较严重的。
操作建议:一般的杀毒软件都可以方便地进行YAI病毒的查杀,所以在确认无YAI病毒的情况下建议开启该端口。
1080端口
1080端口是Socks代理服务使用的端口,大家平时上网使用的WWW服务使用的是HTTP协议的代理服务。
端口说明:1080端口是Socks代理服务使用的端口,大家平时上网使用的WWW服务使用的是HTTP协议的代理服务。而Socks代理服务不同于HTTP代理服务,它是以通道方式穿越防火墙,可以让防火墙后面的用户通过一个IP地址访问Internet。Socks代理服务经常被使用在局域网中,比如限制了QQ,那么就可以打开QQ参数设置窗口,选择“网络设置”,在其中设置Socks代理服务。另外,还可以通过安装Socks代理软件来使用QQ,比如Socks2HTTP、SocksCap32等。
端口漏洞:著名的代理服务器软件WinGate默认的端口就是1080,通过该端口来实现局域网内计算机的共享上网。不过,如Worm.Bugbear.B(怪物II)、Worm.Novarg.B(SCO炸弹变种B)等蠕虫病毒也会在本地系统监听1080端口,给计算机的安全带来不利。
操作建议:除了经常使用WinGate来共享上网外,那么其他的建议关闭该端口。
1755端口
1755端口默认情况下用于“Microsoft Media Server”(微软媒体服务器,简称MMS)。
端口说明:1755端口默认情况下用于“Microsoft Media Server”(微软媒体服务器,简称MMS),该协议是由微软发布的流媒体协议,通过MMS协议可以在Internet上实现Windows Media服务器中流媒体文件的传送与播放。这些文件包括.asf、.wmv等,可以使用Windows Media Player等媒体播放软件来实时播放。其中,具体来讲,1755端口又可以分为TCP和UDP的MMS协议,分别是MMST和MMSU,一般采用TCP的MMS协议,即MMST。目前,流媒体和普通下载软件大部分都支持MMS协议。
端口漏洞:目前从微软官方和用户使用MMS协议传输、播放流媒体文件来看,并没有什么特别明显的漏洞,主要一个就是MMS协议与防火墙和NAT(网络地址转换)之间存在的兼容性问题。
操作建议:为了能实时播放、下载到MMS协议的流媒体文件,建议开启该端口。
4000端口
4000端口是用于大家经常使用的QQ聊天工具的,再细说就是为QQ客户端开放的端口,QQ服务端使用的端口是8000。
端口说明:4000端口是用于大家经常使用的QQ聊天工具的,再细说就是为QQ客户端开放的端口,QQ服务端使用的端口是8000。通过4000端口,QQ客户端程序可以向QQ服务器发送信息,实现身份验证、消息转发等,QQ用户之间发送的消息默认情况下都是通过该端口传输的。4000和8000端口都不属于TCP协议,而是属于UDP协议。
端口漏洞:因为4000端口属于UDP端口,虽然可以直接传送消息,但是也存在着各种漏洞,比如Worm_Witty.A(维迪)蠕虫病毒就是利用4000端口向随机IP发送病毒,并且伪装成ICQ数据包,造成的后果就是向硬盘中写入随机数据。另外,Trojan.SkyDance特洛伊木马病毒也是利用该端口的。
操作建议:为了用QQ聊天,4000大门敞开也无妨。
5554端口
在今年4月30日就报道出现了一种针对微软lsass服务的新蠕虫病毒——震荡波(Worm.Sasser),该病毒可以利用TCP 5554端口开启一个FTP服务,主要被用于病毒的传播。
端口说明:在今年4月30日就报道出现了一种针对微软lsass服务的新蠕虫病毒——震荡波(Worm.Sasser),该病毒可以利用TCP 5554端口开启一个FTP服务,主要被用于病毒的传播。
端口漏洞:在感染“震荡波”病毒后会通过5554端口向其他感染的计算机传送蠕虫病毒,并尝试连接TCP 445端口并发送攻击,中毒的计算机会出现系统反复重启、运行缓慢、无法正常上网等现象,甚至会被黑客利用夺取系统的控制权限。
操作建议:为了防止感染“震荡波”病毒,建议关闭5554端口。
5632端口
5632端口是被大家所熟悉的远程控制软件pcAnywhere所开启的端口。
端口说明:5632端口是被大家所熟悉的远程控制软件pcAnywhere所开启的端口,分TCP和UDP两种,通过该端口可以实现在本地计算机上控制远程计算机,查看远程计算机屏幕,进行文件传输,实现文件同步传输。在安装了pcAnwhere被控端计算机启动后,pcAnywhere主控端程序会自动扫描该端口。
端口漏洞:通过5632端口主控端计算机可以控制远程计算机,进行各种操作,可能会被不法分子所利用盗取账号,盗取重要数据,进行各种破坏。
操作建议:为了避免通过5632端口进行扫描并远程控制计算机,建议关闭该端口。
8080端口
8080端口同80端口,是被用于WWW代理服务的,可以实现网页浏览。
端口说明:8080端口同80端口,是被用于WWW代理服务的,可以实现网页浏览,经常在访问某个网站或使用代理服务器的时候,会加上“:8080”端口号,比如http://www.cce.com.cn:8080。
端口漏洞:8080端口可以被各种病毒程序所利用,比如Brown Orifice(BrO)特洛伊木马病毒可以利用8080端口完全遥控被感染的计算机。另外,RemoConChubo,RingZero木马也可以利用该端口进行攻击。
操作建议:一般我们是使用80端口进行网页浏览的,为了避免病毒的攻击,我们可以关闭该端口。
========
微软Windows系统最危险的10个漏洞
来自SANS/FBI联合发表了以往找出的微软Windows系统最危险的10个漏洞:
W1 IIS(互联网信息服务器)
W2 微软数据访问部件(MDAC)-远程数据服务
W3 微软SQL Server
W4 NETBIOS-不受保护的Windows网络共享
W5 匿名登入 -- Null Sessions(空会话,注二)
W6 LAN Manager 身份认证 -易被攻击的LAN Manager口令散列(注三)
W7 一般Windows身份认证-帐户密码太脆弱或干脆为空
W8 IE浏览器漏洞
W9 远程注册表访问
W10 WSH(Windows脚本主机服务)
(1) IIS服务器
微软的IIS服务器存在缓存溢出漏洞,它难以合适地过滤客户端请求,执行应用脚本的能力较差。部分问题可以通过已发布的补丁解决,但每次IIS的新版本发布都带来新的漏洞,因此IIS出现安全漏洞并不能完全归罪于网管的疏漏。建议管理人员运行HFNetChk来检查目前可更新的补丁。
适用性说明——Windows NT 4运行 IIS 4, Windows 2000 运行IIS 5,Windows XP Pro运行 IIS 5.1 。
修复方法——安装补丁文件。为你的系统安装最新的IIS补丁,并在IIS中排除恶意用户的访问IP地址(相关解释见:http://www.microsoft.com/technet/security/tools/urlscan.asp)。删除IIS中缺省支持的ISAPI扩展名,诸如:.htr、.idq、.ism以及.printer,这些可执行脚本的扩展名在IIS安装时缺省支持,但用户很少会需要它们。删除\inetput\wwwroot\scripts目录中的脚本样本文件。同样,在进行IIS安装时不要安装远程管理工具。
(2)MDAC
微软数据访问部件的远程数据服务单元有一个编码错误,远程访问用户有可能通过这一漏洞获得远程管理的权限,并有可能使数据库遭到外部匿名攻击。
适用性说明——NT 4.0系统运行IIS 3.0和4.0,RDS 1.5或是 VS 6.0。
修复方法——升级MDAC到2.1或更新的版本,或者基于以下发布的方法进行系统配置:
Q184375
MS98-004
MS99-025
从上述公告发布的时间可以看出,这些漏洞是所谓的well-know (著名的) 漏洞。实际上上述漏洞常被用来攻击Windows网络 ,尤其是那些较早的系统。
(3)微软SQL数据库
Internet Storm Center始终在警告用户微软SQL数据库的1433端口是攻击者必定扫描的十大现存漏洞端口之一。
适用性说明——SQL服务器7.0,SQL服务器2000以及SQL桌面安装版本。
修复方法——根据各自的系统安装下面的其中一个补丁:
SQL Server 7.0 服务包 4
SQL Server 2000 服务包 2
(4)NETBIOS/Windows网络共享
由于使用了服务器信息块(SMB)
协议或通用互联网文件系统(CIFS),将使远程用户可以访问本地文件,但也向攻击者开放了系统。
适用性说明——所有的windows系统。
风险——肆虐一时的Sircam和Nimda蠕虫病毒都利用这一漏洞进行攻击和传播,因此用户对此绝对不能掉以轻心。
修复方法——限制文件的访问共享,并指定特定IP的访问限制以避免域名指向欺骗。关闭不必要的文件服务,取消这一特性并关闭相应端口。
注一:SANS(System Administration, Networking, and
Security-系统管理、网络和安全学会)SANS和FBI已经陆续联合发表多个网络安全危险名单,这似乎已经成了一个惯例。
注二:Null
Session被认为是WIN2K自带的一个后门。当建立一个空会话之后,对于一台配置不到位的WIN2K服务器来说,那么将能够得到非常多的信息,比如枚举帐号等等。
注三:微软在Windows NT 和 2000系统里缺省安装了LAN Manager口令散列。由于LAN
Manager使用的加密机制比微软现在的方法脆弱,LAN Manager的口令能在很短的时间内被破解。
(5)匿名登录
Window操作系统的帐户服务至关重要,但一旦用户通过匿名登录进程(空对话)后就可以匿名访问其它系统中的文件。不幸的是,这意味着攻击者也可以匿名进入系统。
适用性说明——Windows NT, 2000以及XP系统
修复方法——用户唯一可以补救的就是修改注册表限制这一潜在的威胁。
(6)LAN Manager身份认证(易被攻击的LAN Manager口令散列)
尽管Windows的大多数用户不再需要LAN
Manager的支持,微软还是在Windows NT 和 2000系统里缺省安装了LAN Manager口令散列。由于LAN
Manager使用的早期加密机制比微软现在的方法脆弱,即使相当强健的LAN Manager的口令也能在很短的时间内被破解。
适用性说明——所有的Windows操作系统: 缺省安装的Windows NT,Windows 2000,Windows XP都存在这一漏洞。
修复方法——只要用户用不到它,就尽快取消LM认证支持。
(7)Window 密码
脆弱的密码是管理人员的心腹大患。尽管各种系统设置都要求用户使用足够强壮的密码并进行定期更换,但用户往往抱怨系统管理员做出的各种限制,这就引发了访问控制的脆弱性。既然这一漏洞名列第七大系统漏洞,系统管理员就可以理直气壮地要求用户遵守足够强壮的密码策略。
适用性说明——所有使用密码保护的系统和应用软件。
修复方法——略。
(8)IE浏览器
对于IE浏览器的用户有以下几个方面的威胁
ActiveX控件
脚本漏洞
MIME 类型和内容的误用
缓存区溢出
风险——Cookies 和其它本地文件有可能被利用来威胁系统安全,恶意代码有可能趁虚而入安装并运行,甚至恶意代码可以执行删除和格式化硬盘的命令。
修复方法——升级并安装补丁文件。微软不再支持版本早于5.01的IE浏览器,因此用户必须升级到5.01或更高版本。完成浏览器升级到IE5.01或5.5后,安装IE
5.01服务包2或IE 5.5服务包2 。然后安装安全补丁的最新累积版本Q32375。
(9)注册表访问
在任何Windows系统中,注册表都是最重要的文件,而允许远程访问注册表将带来很大危害。
适用性说明——所有的Windows版本:在NT Resource Kit(资源套件)中有一个软件 regdump.exe
,可以用来测试系统是否开放了远程注册表访问权限。
修复方法——限制访问:这并非是软件的bug,而是Windows系统所具备的一个特性,因此用户必须通过限制访问权限来避免潜在的威胁。
微软知识库的文章Q153183说明了如何限制远程访问NT系统注册表,而SANS/FBI报告中也提到了几种方法来限制授权和非授权的远程注册表访问。
(10)WSH
(Windows脚本主机服务):用VB来编辑宏非常方便,但类似爱虫和其它VB脚本蠕虫病毒却可以给用户系统带来难以预见的灾难,用户无意间下载的该类恶意脚本文件,很可能通过WSH服务自动在系统中执行。
适用性说明——任何Windows系统
修复方法——取消WSH:按赛门铁克公司Symantec或Sophos)提供的方法取消系统中WSH服务,这样恶意VB脚本就无法自动执行了。然后运行反病毒软件并保证病毒定义库的同步更新,以降低此类安全问题的风险。
========
相关链接
http://blog.csdn.net/miromelo/article/category/749746
http://www.educity.cn/labs/c211.html