-
专家们公认的
20
个最危险的安全漏洞
大概在一年前,
S
ANS
研究所和国家基础设施保护中心(
NIPC
)发布了一份文档,总结了
10
< br>个最严重的网络安全漏洞。数以千计的组织利用这份文档来安排他们工作的先后次序,以便
能够首先关掉最危险的漏洞。
2001
年
10
月
1
日发布的这份新的列表更新并扩展了以前的
TOP10
列表,增加为
20
个最危险的安全漏洞,并将其分为三大类,
通用漏洞,
Windows
漏洞,
UN
IX
漏洞。
这份
SANS/FBI
最危险的
2
0
个漏洞列表是非常有价值的,因为大多数通过
Interne
t
对计算
机系统的入侵均可以追溯到
这
20
个安全漏洞,
例如对五角大楼<
/p>
Solar
Sunrise
系统的攻击,
Code
Red
和
N
imda
蠕虫的快速传播,均可以归结为没有对这
20
个漏洞打补丁。
就
是这少数几个软件漏洞成就了大多数的成功攻击,是因为攻击者是机会主义者,他们使
用最简单和常用的方法。
他们使用最有效和广泛传播的攻击工具
,
去攻击众所周知的漏洞。
他们
p>
寄希望于有关组织不解决这些漏洞。他们扫描网络上有任何漏洞的系统,不做区分地加以攻击
。
过去,系统管理员报告说他们没有弥补很多漏洞,是因为他
们不知道哪些漏洞是最危险的,
他们太忙了,没有时间修补全
部漏洞。一些扫描工具可以扫描
300
或
500
,甚至
800
个漏洞,
这就分散了系统管理员的注意力。
系统管理
员应该保障所有系统免于最常见的攻击。
这份列表集
合了大多数联邦安全机构,
安全软件开发商,
咨
询公司,
大学中的安全组织,
CERT/CC
< br>和
SANS
研究所的首席安全专家的知识,以简化以上
问题。这份文件末尾可以找到参与成员列表。
影响所有系统的漏洞
(G)
G1
—操作系统和应用软件的缺省安装
G1.1
描述:
大多数软件,
包括操作系统和应用程序,
都包括安装脚本或
安装程序。
这些安装程序的目的是尽
快安装系统,在尽量减少管理员工作的情况下,激活尽可能多的功能。
为实现这个目的,
脚本通
常安装了大多数用户所不需要的组件。
软件开发商的逻辑是最好先激活还不需要的功能,
而不是
让用户在需要时再去安装额外的组件。
这种方法尽管对用户
很方便,
但却产生了很多危险的安全
漏洞,
因为用户不会主动的给他们不使用的软件组件打补丁。
而
且很多用户根本不知道实际安装
了什么,很多系统中留有安全
漏洞就是因为用户根本不知道安装了这些程序。
那些没有打补丁的服务为攻击者接管计算机铺平了道路。
p>
对操作系统来说,
缺省安装几乎总是包括了额外的服务和相应的开放
端口。
攻击者通过这些端口
侵入计算
机系统。一般说来,你打开的端口越少,攻击者用来侵入你计算机的途径就越少。
对于<
/p>
应用软件来说,缺省安装包括了不必要的脚本范例,尤其对于
Web
服务器来说更是如此,攻击
<
/p>
者利用这些脚本侵入系统,
并获取他们感兴趣的信息。
绝大多数情况下,
被侵入系统的管理员根
本不知道他们安装了这些脚本范例。
这些脚本范例的安全问题是由于他
们没有经历其他软件所必
须的质量控制过程。事实上,这些脚
本的编写水平极为低劣,经常忘记出错检查,给缓冲区溢出
类型的攻击提供了肥沃的土壤。
G1.2
受影响的系统
大多数操作系统和应用
程序。
请注意几乎所有的第三方
web
服务器扩展都存在这样的样本文件,
它们中间的大多数是极度危险的。
G1.3 CVE
表项
(注意:以下列表并不完整,只是部分样本)
CVE-1999-0415, CVE-1999-0678,
CVE-1999-0707, CVE-1999-0722, CVE-1999-0746,
CVE-1999-0954,
CVE-2000-0112, CVE-2000-0192, CVE-2000-0193,
CVE-2000-0217,
CVE-2000-0234, CVE-2000-0283,
CVE-2000-0611, CVE-2000-0639, CVE-2000-0672,
CVE-2000-0762,
CVE-2000-0868, CVE-2000-0869, CVE-2000-1059
G1.4
怎样判断你是易受攻击的:
如果你使
用了安装程序去安装系统或服务软件,
而且没有移走不需要的服务,
或没有安装所有的
安全补丁,那么你的系统是易于被黑客攻击的。
即使你进行了附加的配置,
你也仍然
是易受攻击的。
你应该对任何连到
Internet
上的系统进行端
口扫描和漏洞扫描。在分析结果
时,请记住以下原则:你的系统应该提供尽可能少的服务,
并安
装为提供这些服务所需的最少的软件包。
每一个额外的软件或服
务都为攻击者提供了一个攻击手
段,这主要是由于系统管理员
不会为他们不经常使用的软件打补丁。
G1.5
怎样防范:
卸载不必要的软件,
关掉不需要的服务和额外的端口。
这会是一个枯燥而且耗费时间的工作。
正
< br>是由于这个原因,许多大型组织都为他们使用的所有操作系统和应用软件开发了标准安装指南。
< p>
这些指南包括了为使系统有效运作所需的最少的系统特性的安装。
Internet
安全中心
(CIS)
根据多个国家的
170
个组织(
/
)的知识和
经验
,针对
Solaris
和
Window
s 2000
开发了一套公认的最小安全配置基准,针对其他操作系统
< br>的
配置基准和测试工具还在开发中。
< br>CIS
工具可以测试安全性能,分区比较系统安全状态。
CIS
指
南
可用来提高大多数操作系统的安全性能。
G2
–
没有口令或使用弱口令的帐号
G2.1
描述:
< br>大多数系统都把口令作为第一层和唯一的防御线。用户的
ID
是很容易获得的,而且大多数公司
都使用拨号的方法绕过
防火墙。因此,如果攻击者能够确定一个帐号名和密码,他(或她)就能
够进入网络。
易猜的口令或缺省口令是一个很严重的问题,
< br>但一个更严重的问题是有的帐号根本
没有口令。实际上
,所有使用弱口令,缺省口令和没有口令的帐号都应从你的系统中清除。
另外,
很多系统有内置的或缺省的帐
号,
这些帐号在软件的安装过程中通常口令是不变的。
攻击
p>
者通常查找这些帐号。因此,所有内置的或缺省的帐号都应从系统
中移出。
G2.2
受影响的系统
所有通过用户
ID
和口令进行认证的操作系统或应用
程序。
G2.3 CVE
entries:
(注意:以下列表并不完整,只是部分样本)
CVE-1999-0291, CAN-1999-0501,
CAN-1999-0502, CAN-1999-0503,
CAN-1999-0505,
CAN-1999-0506, CAN-1999-0507, CAN-1999-0508,
CAN-1999-0516,
CAN-1999-0517, CAN-1999-0518, CAN-1999-0519
G2.4
怎样判断你是易受攻击的:
为判断你
是否易受攻击,你需要了解你的系统上都有哪些帐号。应进行以下操作:
1
.审计你系统上的帐号,建立一个使用者列表,别忘了检查例如路由,连接
Internet
的打印机、
复印机和打印机控制器等系统的口令。
2
.制定管理制度,规范增加帐号的操作,及时移走不再使用的帐号。
3
.经常检查确认有没有增加新的帐号,不使用的帐
号是否已被删除。
4
.对所有的帐号
运行口令破解工具,以寻找弱口令或没有口令的帐号。(在你这么做之前,先
确定你有权利这么做)
3
–
Microsoft Windows NT and
Microsoft Windows 2000, /
oft Personal Security Advisor,
–
Microsoft Windows NT and
Microsoft Windows
2000,
/security/mpsa
the Ripper
–
Unix, /john
a
–
Novell, /pandora
5.
当雇员或承包人离开公司时,或当帐号不再需要时,应有严格的制度保证删除这
些帐号。
G2.5
怎样防范:
应采取两个步骤以消除口令漏洞。
第一步,
所有没有口令的帐
号应被删除或加上一个帐号,
所有
弱
口令应被加强。
可悲的是,
当用户被要求改变或加强他们的弱口
令时,
他们经常又选择一个容
易猜测
的。这就导致了第二步,用户的口令在被修改后,
应加以确认。
可以用程序来拒绝任何不
符合你安全策略的口令,可在如下地址获得常用的程序:
UNIX: Npasswd,
/cc/unix/software/npasswd
2
.For Windows NT: Passfilt, /support/kb
/articles/Q161/9/
这些程序保证了修改口令时,口令的长度和组成使得破解非常困难。
应指出,很多<
/p>
UNIX
系统有
保证口令强壮性的功能,另外还有很多其他软件包也可以达到这个目的。
很多组织使用口令控制程序,
以保证
口令经常更改,
而且旧口令不可重用。
如果使用口令有效期,<
/p>
请确认用户在口令过期之前收到警告并有足够的时间改变口令。
当面对以下信息时,
password has expired and must be
changed,
用户往往会选择一个坏口令。
Microsoft Windows
2000
在
Group Policy
中包括口令限制选项。系统管理员可以配置网络,使
口令有最
小长度,最小和最大有效期等限制。限制口令的最小有效期是很重要的,如果没有它,
用户在被要求修改口令后会很快又把口令改回去。
限制口令的最
小有效期使得用户不得不记住现
在的口令,而不太会把口令改回去。
另外一个很重要的手段是使用户了解,
为什么以及怎样去选择强
壮的口令。
选择口令最常见的建
议是
选取一首歌中的一个短语或一句话,
将这些短语的非数字单词的第一或第二个字母,
p>
加上一
些数字来组成口令,在口令中加入
一些标点符号将使口令更难破解。
另一个避免没有口令或弱口令的方法是采用其他认证手段,例如口令产生令牌
(
password-generating tokens<
/p>
)或生物尺度(
biometrics
)
。如果你没有办法解决弱口令的问
题,
尝试一下其它认证手段。
G3
–
没有备份或者备份不完整
G3.1
描述:
< br>当事故发生时
(这在每一个组织均有可能发生)
,
从事故中恢复要求及时的备份和可靠的数据存
储方式。
一些组织的确每天做备份,
但是不去确认备份是否有
效。
其他一些组织建立了备份的策
略
和步骤,
但却没有建立存储的策略和步骤。
这些错误往往在黑客
进入系统并已经破坏数据后才
被发现。
第二个问题是对备份介质的物理保护不够。
备份保存了和服务器上同样敏感的信息,
p>
它们应以相
同的方式加以对待。
G3.2
受影响的系统
任何运行紧要任务的系统
G3.3 CVE entries:
N/A
G3.4
怎样判断你是易受攻击的:
应列出一份紧要系统的列表。
然后对每一个系统可能遇到的风险
和威胁进行分析。
应根据这些重
要的
服务器制定备份方式和策略。一旦确认了这些重要系统,应明确以下重要问题:
1
.
2
.
3
.
4
.
5
.
6
.
7
.
G3.5
怎样防范:
应当每天做备份。
在大多数组织中,
最低的要求是一周
做一次完整的备份,
之后每天再做增量备
份。
至少一个月要对备份介质做一次测试,
以保证数据确实
被正确的保存了下来。
这是最低要求。
很多公司每天都做完整的备份,
并且一天就要做多次备份。
备
份的终极目的是一个完全冗余的网
络,
并且具备自动防故障能力
---
实时金融和电子商务系统,<
/p>
重要设施的控制系统和一些国防部门
的系统都需要这样一个备份方案。
G4
–
大量打开的端口
系统是否有备份?
备份间隔是可接受的吗?
系统是按规定进行备份的吗?
是否确认备份介质正确的保存了数据?
备份介质是否在室内得到了正确的保护?
是否在另一处还有操作系统和存储设施的备份?(包括必要的
license
key
)
存储过程是否被测试及确认?
G4.1
描述
合法的用户和攻击者都通过开放端口连接系统。端口开得越多,进入系统的途径就越多。因此,
为使系统正常运作,保持尽量少的端口是十分必要的。所有无用的端口都应
被关闭。
G4.2
受影响的系统:
大多数操作系统。
G4.3 CVE entries:
(注意:以下列表并不完整,只是部分样本)
CVE-1999-0189,
CVE-1999-0288, CVE-1999-0351, CVE-1999-0416,
CVE-1999-0675,
CVE-1999-0772, CVE-1999-0903,
CVE-2000-0070, CVE-2000-0179, CVE-2000-0339,
CVE-2000-0453,
CVE-2000-0532, CVE-2000-0558, CVE-2000-0783,
CVE-2000-0983,
G4.4
怎样判断你是易受攻击的:
netstat
命令可以在本地运行以判断哪些端口是打开的<
/p>
,
但更保险的方法是对你的系统进行外部
的端口扫描
.
这会给你列出所有实际在
侦听的端口号
.
如果二者结果不同
,<
/p>
你应该研究一下是什么
原因
.
如果两个列表一致
,
检
查一下为什么这些端口是打开的
,
每一个端口都在运行什么
p>
.
任何无
法确认
的端口都应被关闭
.
应记录最终端口列表
,
以确定没有额外的端口出现。
在众多的端口扫描器中,最流行的是
nmap
< br>。在
/nmap/
可以找到
UNIX
下的
nmap
。这个版本在
NT
下也可以编译。在
/html/Research/Tools/
可以找到
NT
版的
nmap
。无论你使用那种扫描器,都应扫描从
1-65,535
的所有
TCP
和
UD
P
端口。
在进行扫描之前,你应对系统拥有写入权限。一些操作系统,特别是一些有内置的
TC
P/IP
协议
栈的器件,在被扫描时
,会出现难以预计的后果。扫描同时会触发入侵检测系统和防火墙,
而被
认为是一种入侵。
G4.5
怎样防范:
一旦你确定了哪些端口是打开的,
接下来的任务是确定所必须打开的端口的最小
集合—关闭其他
端口,找到这些端口对应的服务,并关闭
p>
/
移走它们。
在
UNIX
系统下,
< br>很多服务是由
inted
和它的配置文件
控制的。
列出了侦听
端口的服务,可用来关闭端口:将一种服务从
中移出,重启
inted
,以避免端口
被再
次打开。其他一些服务是通过启动时的一些脚本来运行的
(例如
/etc/rc,
/etc/,
或在
/etc/rc*
目录下的。由于在不同
UNIX
系统下
关闭这些脚本的方式不同,请查询你的系统文档。
在
Windows NT
和
Windows 2000
下,可使用一种
fport
(
/
)的程
序来确定在某个特
定端口上侦听的服务或程序。
在
Windows XP
下,
你可以
netstat
命令加
-o
来
完成相同的功能。
G5
–
没有过滤地址不正确的包
G5.1
描述
IP
地址欺诈是黑客经常用来隐藏自己踪迹的一种手段。例如常见的
< br>smurf
攻击就利用了路由的
特性向数以千记的机器发出了一串数据包。每一个数据包都假冒了一个受害主机的
IP
地址作为
源地址,于是上千台主机会
同时向这个受害的主机返回数据包,导致该主机或网络崩溃。
对流进和流出你网络的数据进行过滤可以提供一种高层的保护。过滤规则如下:
1
.任何进入你网络的数据包不能把你网络内部的地址作为源地址。<
/p>
2
.任何进入你网络的数据包必须把你
网络内部的地址作为目的地址。
3
.
任何离开你网络的数据包必须把你网络内部的地址作为源地址。
4
.任何离开你网络的数据包不能把你网络内部的地址作为目的地址。
5
.任何进入或离开你网络的数据包不能把一个私有
地址(
private address
)或在
RFC1918
中
列出的属于保留空间(包括
10.x.x.x/8,
172.16.x.x/12
或
192.168.x.x/16
和网络回送地址
127.0.0.0
/8.
)的地址作为源或目的地址。
6
.阻塞任意源路由包或任何设置了
IP
选项的包。
G5.2
受影响的系统:
大多数操作系统和网络设备。
G5.3 CVE entries:
(注意:以下列表并不完整,只是部分样本)
CAN-1999-0528, CAN-1999-0529,
CAN-1999-0240, CAN-1999-0588
G5.4
怎样判断你是易受攻击的:
试图发送一个假冒
IP
地址的包,看你
的防火墙或路由器是否阻隔了它。你的设备不仅应该阻隔
它的
传输,而且应该在日志文件中记录下假冒
IP
包已被丢弃。注意
,这又为一种新的攻击敞开
了大门:
日志文件泛滥。
应确认你的日志系统可以处理很强的负载,
否则
就易受
DOS
攻击。
nmap
程序可以发出假冒
IP
包以测试这类过滤。一
旦设置了过滤规则,不要认为它总能正常工作,经
常测试。
G5.5
怎样防范:
应在你的外部路由或防火墙上设置过滤规则。以下是
CISCO
路由器的简单规则:
1
.进入过滤:
interface Serial 0
ip
address 10.80.71.1 255.255.255.0
ip
access-group 11 in
access-list 11 deny
192.168.0.0 0.0.255.255
access-list 11
deny 172.16.0.0 0.15.255.255
access-
list 11 deny 10.0.0.0 0.255.255.255
access-list 11 deny
access-list 11 permit any
2.
离开过滤:
interface
Ethernet 0
ip address 10.80.71.1
255.255.255.0
ip access-group 11 in
access-list 11 permit
G6
–
不存在或不完整的日志:
G6.1
描述:
< br>安全领域的一句名言是:“预防是理想的,但检测是必须的”。只要你允许你的网络与
Internet
相连,
黑客入侵的危险就是存在的。<
/p>
每周都会发现新的漏洞,
而保护你不被黑客攻击的方法很少。
p>
一旦被攻击,没有日志,你会很难发现攻击者都作了什么。
不了解这一点的话,
你只能在两者之
间做出选择:
要么从原始状态重装系统,
寄希
望于数据备份是正确的,
要么冒险使用一个黑客可
能仍然控制的系统。
如果你不知道在你的系统上都发生了什么,
你是不可能发现入侵的。
日志提供了当前系统的细节,
哪些系统被攻击了,那些系统被攻破了。
在所有重要的系统上应定期做日志,而且日志应被定期保存和
备份,因为你不知何时会需要它。
许多专家建议定期向一个中
央日志服务器上发送所有日志,
而这个服务器使用一次性写入的介质
来保存数据,这样就避免了黑客篡改日志。
G6.2
受影响的系统:
所有的操作系统和网络设备。
G6.3 CVE entries:
CAN-1999-0575, CAN-1999-0576,
CAN-1999-0578
G6.4
怎样判断你是易受攻击的:
查看每一个主要系统的日志,如果你没有日志或它们不能确定被保存了下来,你是易被攻
击的。
G6.5
怎样防范:
所有系统都应在本地记录日志,
并把日志发到一个远端系统保存。
这提供了冗余和一个额外的安
全保护层。现在两个
日志可以互相比较。任何的不同显示了系统的异常。
另外,
这提
供了日志文
件的交叉检测。一个服务器中的一行日志可能并不
可疑,但如果在一分钟内出现在一个组织的
50
个服务器的同一出口,可能标志着一个严重问题。
不论何时,用一次性写入的媒质记录日志。
G7
–
易被攻击的
CGI
程序
大多数的
web
服务器,包括
Microsoft
的
IIS
和
Apache
,
都支持
CGI
程序,以实现一些页面的
交互功能,例如数据采集和确认。事实上,大多数
web
服务器都安装了简单的
CGI
程序。不幸
p>
的
是,大多数
C
GI
程序员没有认识到他们的程序为
Internet
上的任一个人提供了一个连向
web
服
务器操作系统的直接的链接。易被攻击的
CG
I
程序格外吸引攻击者,是因为他们很容易确定和
使
用
web
服务器上软件
的权限。攻击者们可以利用
CGI
程序来修改
< br>web
页面,窃取信用卡帐号,
为
未来的攻击设置后门。
当司法部的页面被篡改后,
深入调查得出的结论是可能性最大的攻击手段
是
CGI
程序中的漏洞。由没有受过良好教育或很粗心的程序员
编写的
web
服务器应用程序也很
容<
/p>
易受到攻击。作为一个基本的规则,所有系统都应删除示范(<
/p>
sample
)程序。
G7.2
受影响的系统:
所有的
web
服务器。
G7.3 CVE entries:
(注意:以下列表并不完整,只是部分样本)
CVE-1999-0067, CVE-1999-0346,
CVE-2000-0207, CVE-1999-0467, CAN-1999-0509,
CVE-1999-0021,
CVE-1999-0039, CVE-1999-0058, CVE-2000-0012,
CVE-2000-0039,
CVE-2000-0208, CAN-1999-0455,
CAN-1999-0477
G7.4
怎样判断你是易受攻击的:
如果你的
web
服务器上有任何示范程序,你是易被攻击的。如果你有合
法的
CGI
程序,请保证
你
是在运行最新版,
然后对你的站点运行漏洞扫描
工具。
通过模仿攻击者的行为,
你可以保护你的
系统。你可以使用一个叫
whisker
(
/rfp/
)的
CGI
扫描工具来发现
CGI
程
序的漏洞。
G7.5
怎样防范:
以下是为保护易受攻击的
CGI
程序所需做的首要工作
:
1
.从你的
web
服务器上移走所有
CGI
示范
程序。
2
.审核剩余的
CGI
脚本,移走不安全的部分。
3
.保证所有的
CGI
程序员
在编写程序时,都进行输入缓冲区长度检查。
4
.为所有不能除去的漏洞打上补丁。
5
.保证你的
CGI
bin
目录下不包括任何的编译器或解释器。
6
.从
CGI bin
目录下删除
脚本。
7
.不要以
administrator
或
root
权限运行你的
web
服务器。大多数的
web
服
务器可以配置成较
低的权限,例如
<
/p>
8
.不要在不需要
CGI
的
web
服务器上配置
CGI
支持。
最
危险的
Windows
系统漏洞
(W)
W1 -
Unicode
漏洞
W1.1
描述:
不论何种平台,
何种程序,
何种语言,
Unicode
为每一个字符提供了一个独一无二的序号。
Unicode
标准被包括
Microsoft
在内的很多软件开发商
所采用。通过向
IIS
服务器发出一个包括非法
Unicode UTF-8
序列的
URL,
攻击者可以迫使服务器逐字“进入或退出”目录并执行任意
(
程
序
)(script
—脚本
)
,
这种攻击被称为目录转换攻击。
U
nicode
用
%2f
和
%5c
分别代表
/
和
。但你也可以用所谓的“超长”序列来代表这些字符。“超
长”序列是非法的
Unicode
表示符,它们比实际代表这些字符的序列要长。
/
和
均可以用一个字
节来表示。超长的表示法,例如用
%c0%af
代表
/
用了两个字节。
IIS
不对超长序列进行检查。这
样在
URL
中加入一个超长的
Unicode
序列,就可以绕过
Microsoft
的安全检查。如果是在
一个
标记为可执行的文件夹中发出的请求,攻击者可以在服务
器上运行可执行文件。更多的有关
Unicode
的威胁信息可在这里找到:
/rfp/p/?id=57&face=2
W1.2
受影响的系统:
安装了
IIS
4.0
的
Microsoft Windows NT
4.0
和安装了
IIS
5.0
,而没有安装
Service Pack
2
的
Windows 2000
server
。
W1.3 CVE entries:
CVE-2000-0884
W1.4
怎样判断你是易受攻击的:
如果你在运行一个未打补丁的
IIS
,
那么你是易受到攻击的。最好的判断方法是运行
hfnetchk
。
Hfnetchk
是用来帮助管
理员来判断系统所打补丁情况的工具。
Unicode
目录转换
漏洞可通过打
以下补丁进行修补:
?
?
Q269862 -
MS00-057
Q269862 - MS00-078
?
?
?
?
Q277873 - MS00-086
Q293826 - MS01-026
Q301625 - MS01-044
Windows 2000 Service Pack 2
如果一个补丁都没有安装,那么系统是易受到攻击的:
为进行进一步确认,你可以键入以下命令:
< br>http://victim/scripts/..%c0%af../winnt/system32 /?/c+dir+c:
这个地址需要被修改以准确测试每一个特定系统。如果你已移
走了
scripts
目录(建议这
<
/p>
么做),这个命令就失效了。你可以暂时建立一个有执行权限的目录,或使用一个已有的有
执行权限的目录,来替代
scrip
ts
目录。例如,你可能已经删除了
scripts
目录,但另外有一
个
cgi-
bin
目录,使用
cgi-bin
目录
替代
scripts
目录测试你的系统。
如果你是易受攻击的,这个
URL
会送回一个目录,列出驱动器
C
下的所有内容。你只是运
行
DIR
命令,如
果是一个攻击者的话,他就有可能大肆破坏或在你的系统上安装一个后门。
W1.5
怎样防范:
为避免这一类攻击,你应
下载
Microsoft
的最新补丁,在
Microsoft Security
Bulletin
:
/technet/security/bulletin/
你可以找到这些补丁的
信息。
IIS
Lockdown
和
URL
Scan
均可以避免这类攻击。
IIS
Lockdown
可以帮助管理员锁住
IIS
server
,可在以下地址获得:
/technet/security/tools/
URL
Scan
是一个可以过滤很多
HTTP
请求的过滤器。例如,它可以过滤包含
UTF8
编码字
符的请求。
URLScan
< br>可在以下地址获得:
/technet/security/
W2
–
ISAPI
缓冲区扩展溢出
W2.1
描述:
Microsoft's Internet Information Server
(IIS)
是在大多数
Microsoft Windows
NT
和
Windows 2000
服务器上使用的服务器软件。安装<
/p>
IIS
后,就自动安装了多个
ISAPI
extensions
。
ISAPI
,代表
Internet
Services Application Programming
Interface
,允许开发
人员
使用
DLL
扩展
IIS
服务器的性能。一些动态连接库,例如
,有编程错误,
使得他
们做不正确的边界检查。特别是,它们不阻塞超长字符
串。攻击者可以利用这一点向
DLL
发送数据,造成缓冲区溢
出,进而控制
IIS
服务器。
W2.2
受影响的系统:
缓冲区溢出影响
Microsoft
Index Server 2.0
和
Windows
2000
中的
Indexing
Service
。
打印机缓冲区溢出影响
Windows 2000
Server, Advanced Server,
和安装了
IIS
5.0
的
Server Data
Center Edition. Windows 2000 Professional
也装载了
,但不是缺省安装。
如果可能,你应使用
Group Policy
,禁止基于
web
的打印(在
Computer
Configuration:Administrative
Templates:Printers
下)。
W2.3 CVE entries:
CVE-1999-0412, CVE-2001-0241,
CAN-2000-1147, CAN-2001-0500
W2.4
怎样判断你是易受攻击的:
如果你的
web
服务器没有安装
Service Pack
2
,你是易受攻击的。如果你不确定安装了哪
一个补丁,从以下地址下载
hfnetchk
并运行它
:
/technet/treeview/?url=/te
chnet/security/tools/hfnetch
以下补丁可以修正打印机缓冲区溢出:
?
?
?
?
?
Q296576 -
MS01-023
Q300972 - MS01-033
Q301625 - MS01-044
Windows 2000 SP2
Q299444
–
The Windows NT 4.0
Security Roll-up Package
以下补丁可以修正
缓冲区溢出:
?
?
?
W2.5
怎样防范:
安装最新的
Microsoft
的补丁。
?
Windows NT 4.0:
Q300972 - MS01-033
Q301625 - MS01-044
The Windows NT 4.0 Security
Roll-up Package
/ntserver/nts/downloads
/critical/q299444/
?
Windows 2000 Professional, Server and
Advanced Server:
/technet/security/bulletin/
?
Windows 2000 Datacenter
Server:
Windows 2000
Datacenter
Server
是基于硬件的,可以从设备生产商处获得。
?
Windows XP:
该漏洞不影响
Windows
XP.
同时,管理员应检查并取消所有不需要的
ISAPI<
/p>
扩展。经常检查这些扩展没有被恢复。
请记住最小权限规则,你的系统应运行系统正常工作所需的最少服务。
IIS Lockdown
和
URL
Scan
均可以避免这类攻击。
IIS
Lockdown
可以帮助管理员锁住
IIS
server
,可在以下地址获得:
/technet/security/tools/
URL
Scan
是一个可以过滤很多
HTTP
请求的过滤器。例如,它可以过滤包含
UTF8
编码字
符的请求。
URLScan
< br>可在以下地址获得:
/technet/security/
W3 - IIS
RDS
的使用
(Microsoft Remote Data
Services)
W3.1
描述:
Microsoft's
Internet Information Server
(IIS)
是在大多数
Microsoft Windows
NT
和
Windows
2000
服务器上使用的服务器软件。黑客可以利用
IIS's
Remote Data Services
(RDS)<
/p>
中的漏洞以
administrator
权限在远端运行命令。
W3.2
受影响的系统:
运行
IIS
,有
/msa
dc
虚拟路径的
Microsoft Windows NT
4.0
系统是最易受攻击的。
W3.3 CVE entries:
CVE-1999-1011
W3.4
怎样判断你是易受攻击的:
如果你在运行一个未打补丁的系统,你是易被攻击的。
可以在以下地址找到有关
RDS
漏洞和怎样清
除它的指南:
/rfp/p/?id=29&iface=2
W3.5
怎样防范:
这不是仅打一个补丁就能修复的。为进行防范,请遵循以下安全公告(
secu
rity bulletins
)
的指南:
?
?
?
/support/kb/articles/q184/3/
/technet/security/bulletin/
/technet/security/bulletin/
另外,你也可以通过升级到
2.1<
/p>
版的
MDAC
来解决这个问题。最新版的
MDAC
可在以下地址
获得:
/data/
W4
–
NETBIOS
–
未保护的
Windows
网络共享
W4.1
描述:
Server
Message Block
(SMB)
协议,也称为
Common Internet
File System (CIFS),
允许网络间
p>
的文件共享。
不正确的配置可能会导致系统文件的暴露,
或给予黑客完全的系统访问权。
许多计
算机所有者不知道他们在为了外来的研究人员或工作人员方便,而把文件设置为可读,可写后,<
/p>
就为黑客们敞开了大门。
用于开发任务
规划软件的政府网站的管理员们把他们的文件设为世界范
围可
读的,
于是来自不同政府机构的人员可以轻易进入。
在两天之内
,
黑客们就发现了这个开放
文件共享,并偷走了这个软件。
<
/p>
在
Windows
的主机上允许文件共享
使得它们容易受到信息窃贼和某种快速移动的病毒的攻击。
在
Macintosh
和
UNIX
的主机上允许文件共享也存在相同的问题。
允许进行
Windows
文件共享的<
/p>
Windows
机制可被攻击者利用获取系统的敏感信息。用户和
组
信息(用户名,上次登录时间,口令策略,
RAS
信息),系统信息和某种注册密钥都可通过与
NetBIOS
对话服务连接的一个“空对话”过程获得。这些
信息对黑客很有帮助,因为这些信息
可以帮助他们进行口令猜测和破解。
W4.2
受影响的系统:
Microsoft Windows NT and
Windows 2000 systems
W4.3
CVE entries: