作者:李红 转自:ezIT
编者按:Windows XP过去曾被认为“最安全”,可如今发现的XP漏洞是越来越多,利用漏洞实施攻击的病毒也层出不穷,例如去年闹得沸沸扬的冲击波,今年则流行震荡波。现在微软每个月都会在网上发布安全公告,免费提供一些补丁,建议你及时给操作系统打打补丁、更新系统,以便堵上各种安全漏洞。下面就让我们来看看WinXP究竟有哪些严重的安全漏洞……
文章导引:
一、任务计划程序漏洞
二、HTML帮助远程执行代码漏洞
三、LSASS 漏洞
四、图元文件漏洞
五、RPC运行时库漏洞
六、ASN.1漏洞可能允许执行代码
七、Workstation服务中缓冲区溢出漏洞
八、帮助和支持中心漏洞
九、Authenticode验证中的漏洞
十、Windows Messenger服务的缓冲区溢出漏洞
十一、DirectX 中未经检查的缓冲区漏洞
十二、DCOM RPC 接口中的缓冲区溢出漏洞
十三、Windows Shell中未经检查的缓冲区的漏洞
十四、“压缩文件夹”功能漏洞
十五、Microsoft虚拟机漏洞
十六、即插即用服务(UPnP)导致的缓冲溢出漏洞
十七、热键功能漏洞
一、任务计划程序漏洞(发布日期:2004-07-13)
【漏洞描述】:Windows的任务计划程序在处理应用软件文件名验证时存在问题,黑客可以利用这个漏洞远程取得系统权限、执行任意指令。黑客可以使用多种方法,例如构建恶意WEB页、诱使用户点击来触发此漏洞,成功利用此漏洞的黑客可以完全控制受影响的系统。
【解决办法】:Microsoft为此发布了一个安全公告(MS04-022)以及相应补丁,安装了WinXP 和WinXP Service Pack 1的用户立即到以下地址http://www.microsoft.com/china/technet/security/bulletin/MS04-022.mspx下载补丁,然后进行更新,该安全补丁也将包含在 Windows XP Service Pack 2 中。
二、HTML帮助远程执行代码漏洞(发布日期:2004-07-13)
【漏洞描述】:Windows允许应用软件使用一种标准方法(例如HTML帮助API方法),来显示和处理帮助文件。Windows HTML Help存在问题,远程黑客可以利用这个漏洞,以用户进程权限在系统上执行任意代码,包括安装程序,查看更改删除数据,建立新帐户等攻击。黑客可以构建恶意页面、诱使用户点击来触发此漏洞,另外,特殊构建的showHelp URL也可以导致在本地电脑上执行远程任意代码。
【解决办法】:Microsoft为此发布了一个安全公告(MS04-023)以及相应补丁,安装了WinXP 和WinXP Service Pack 1的用户立即到以下地址http://www.microsoft.com/china/technet/security/bulletin/MS04-023.mspx下载补丁,然后进行更新,此问题的补丁也将包含在 Windows XP Service Pack 2 中。
如果你不能立刻安装补丁或者升级,建议点击开始,运行“regsvr32 /u %windir%\system32\itss.dll”,注销HTML Help协议,以降低威胁。如果你使用的是 Outlook 2002 或更高版本,或者是Outlook Express 6 SP1 或更高版本,请用纯文本格式阅读电子邮件,以免自己受到HTML电子邮件恶意代码的攻击。
三、LSASS 漏洞(发布日期:2004-4-13):震荡波蠕虫病毒
【漏洞描述】:LSASS(本地安全验证子系统服务)主要处理客户端和服务器的身份验证,LSASS 中存在一个缓冲区溢出漏洞,后果是使远程攻击者完全控制受感染系统,其中包括安装程序,查看、更改或删除数据,或者创建拥有完全权限的新帐户等。在WinXP/2000上,任何可向你传送特制消息的匿名用户都有可能尝试利用此漏洞。2004年5月,利用该漏洞的震荡波蠕虫病毒(Sasser)在网上疯狂传播,如果你已经堵住了该漏洞,震荡波也就失去了攻击目标。
【解决办法】:今年4月13日,微软在MS04-011公告中发布了该漏洞的补丁,下载地址http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx建议安装该补丁。
如果不能安装补丁,应该使用个人防火墙,如WinXP/2003 中的Internet 连接防火墙,在防火墙处阻塞以下端口的非法入站通信:
UDP 端口 135、137、 138、445;
TCP端口 135、139、445、593;
端口号大于 1024 的端口;
任何其他特殊配置的 RPC 端口(这些端口用于启动与 RPC 的连接)
以上作法将有助于保护位于防火墙后面的系统,免受利用此漏洞进行的攻击。Microsoft 建议阻塞所有来自 Internet 的未经请求的入站通信,以帮助阻止可能使用其他端口进行的攻击。
四、图元文件漏洞(发布日期:2004-4-13)
【漏洞描述】:在Windows 图元文件(WMF)和增强型图元文件(EMF)图像格式显示中存在一个缓冲区溢出漏洞,黑客可以在受影响的系统上远程执行代码。只要你运行了显示WMF 或 EMF 图像的软件,就可能受到攻击,成功利用此漏洞的黑客可以完全控制受影响的系统。
黑客可能拥有一个利用此漏洞的恶意Web站点,然后诱使你查看该站点;还可能创建一个夹带了特制图像的HTML电子邮件发送给你,诱使你查看该HTML电子邮件,当你用Outlook 2002 或 Outlook Express 6打开时即触发此漏洞;或者将特制图像嵌入 Office 文档中,然后诱使你查看该文档;也可能将特制图像添加到本地文件系统中,或者添加到网络共享中,诱使你使用 WinXP 中的 Windows资源管理器预览目录,以这些方式触发漏洞。
【解决办法】:如果你使用了Outlook 2002 或更高版本,或者是Outlook Express 6 SP1 或更高版本,请用纯文本格式阅读电子邮件,以免自己受到HTML 电子邮件恶意代码的攻击,建议你下载并安装该问题的补丁,下载地址http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx
五、RPC运行时库漏洞(发布日期:2004-4-13)
【漏洞描述】:RPC提供了一种进程间的通信机制,该机制允许A系统上运行的程序能访问B系统上的服务。RPC 运行时间库在处理特制邮件时出现争用情况,利用该漏洞可以远程执行代码,从而完全控制受影响的系统。黑客可以通过创建一系列特制的网络邮件,并将这些邮件发送给你,来利用此漏洞,然后这些邮件就可以使你的系统执行代码,以便黑客通过交互方式登录到系统,或使用其他程序将参数传递给易受攻击的组件。
【解决办法】:建议你下载并安装该问题的补丁,下载地址http://www.microsoft.com/china/technet/security/bulletin/MS04-012.mspx
如果不能安装补丁,应该使用WinXP/2003 附带的个人防火墙,如 Internet 连接防火墙,在防火墙处阻塞以下端口上未经请求的入站流量:
UDP 端口 135、137、138 和 445;
TCP 端口 135、139、445 和 593;
端口号大于 1024 的端口;
任何其他特别配置的 RPC 端口;
用于监听端口 80 和 443 的 COM Internet 服务 (CIS) 或 RPC over HTTP(如果已安装)
六、ASN.1漏洞可能允许执行代码(发布日期:2004-2-10)
【漏洞描述】:ASN.1(Abstract Syntax Notation 1)是IT行业中许多应用程序和设备使用的一种数据标准,微软ASN.1 Library 中存在的安全漏洞,可以使代码能够在受影响的系统中执行。此漏洞是由微软ASN.1 Library 中未经检查的缓冲区引起的,此类缓冲区可能会导致缓冲区溢出。如果黑客成功地利用了此缓冲区溢出漏洞,就可以在受影响的系统上以系统特权执行代码,然后黑客就能够在该系统上执行任何操作,包括安装程序,查看、更改或删除数据,或者创建拥有完全权限的新帐户。
【解决办法】:微软为此发布了安全补丁,下载地址http://www.microsoft.com/china/technet/security/bulletin/MS04-007.asp要求安装在WinXP或WinXP Service Pack 1 (SP1) 上,该补丁也将包含在 Windows XP Service Pack 2 中。
七、Workstation 服务中缓冲区溢出漏洞(发布日期:2003-11-12)
【漏洞描述】:Workstation服务中存在一个未经检查的缓冲区安全漏洞,该漏洞允许在受影响的系统中执行远程代码。如果这一漏洞被人利用,黑客就可以获得受影响系统的系统权限,或者使Workstation 服务无法正常工作,黑客可以对系统执行任何操作,其中包括安装程序,查看、更改或删除数据,或者创建拥有完全权限的新帐户。
【解决办法】:使用WinXP 附带的 Internet 连接防火墙,在基于WinXP/2000 的系统上启用高级 TCP/IP 筛选,使用防火墙封堵UDP 端口138、139、445 和 TCP 端口 138、139、445,这些端口用于接受远程计算机上的远程过程调用 (RPC) 连接,在防火墙位置封堵这些端口,有助于保护防火墙后面的系统免遭攻击;禁用 Workstation 服务以防止可能受到的攻击:单击“开始”/设置/控制面板,点击“管理工具”/服务,双击“Workstation”,在“常规”选项卡上单击“停止”按钮,在“启动类型”中选择“已禁用”,然后单击“确定”。
八、帮助和支持中心漏洞(发布日期:2003-10-15)
【漏洞描述】:WinXP附带的“帮助和支持中心”功能中存在一个安全漏洞,产生此漏洞的原因是与 HCP 协议关联的文件包含一个未经检查的缓冲区。黑客可以利用此漏洞来构建这样的 URL:当用户单击时,它会在“本地计算机”安全上下文中执行攻击者选择的代码。此 URL 可以电子邮件方式发送给用户,或者在 Web 页上进行管理,当你单击 该URL 时,黑客就能够读取、删除或运行你机器上的文件。
【解决办法】:到微软的网站下载安装该问题的安全补丁,或者安装微软发布的WinXP SP1,已经安装了WinXP SP1 的系统堵住了该漏洞。此外,你也可以在注册表中删除HKEY_CLASSES_ROOT\HCP项,以便撤消 HCP 协议的注册。
注意:修改注册表前要备份,以便发现问题后可以恢复。WinXP 或 WinXP SPack 1 (SP1) 的正版才能安装此安全修补程序。
九、Authenticode验证中的漏洞(发布日期:2003-10-15)
【漏洞描述】:Authenticode 中存在一个缺陷,在内存较低的某种情况下,它可以允许 ActiveX 控件下载和安装,并且不会提示用户予以同意。为了利用此漏洞,黑客可以向用户发送特殊形式的 HTML 电子邮件,如果你查看了该 HTML 电子邮件,你的系统中则可能安装和执行未经授权的 AcitiveX 控件。或者,黑客设立一个恶意的 Web 站点,放上利用此漏洞的Web 页,如果你访问该站点,你的系统中就可能会安装和执行 AcitiveX 控件。
【解决办法】:下载安装该问题的安全补丁,下载地址http://www.microsoft.com/china/security/Bulletins/MS03-041.asp,如果不能安装补丁,应该通过更改Internet 安全区域的设置来禁止下载 ActiveX 组件,防备针对此漏洞的攻击,操作步骤:在 Internet Explorer 中,选择“工具”/Internet 选项,单击“安全”选项卡,选择“Internet”图标,然后单击“自定义级别”按钮,在“下载已签名的 ActiveX 控件”下,单击“禁用”(如下图),最后单击“确定”。
以上操作之后,你可以将信任的站点添加到 Internet Explorer的“可信”站点中,以便继续照常使用可信Web站点,同时又避免在非可信站点中遭受此攻击,具体步骤:在 Internet Explorer 中,选择“工具”/Internet 选项,单击“安全”选项卡中的“可信站点”,然后单击“站点”,如果想添加不需要加密频道的站点,清除“对该区域中的所有站点要求服务器验证(https:)”复选框,在标为“将该 Web 站点添加到区域中”的框中,键入信任的站点 URL(例如http://windowsupdate.microsoft.com),然后单击“添加”按钮,添加完所有站点后,单击“确定”。
注意:如果使用了Outlook 2002 或 Outlook Express 6.0 或更高版本,要使自己不受 HTML 电子邮件攻击媒介的危害,可以使用纯文本格式阅读电子邮件。
十、Windows Messenger服务的缓冲区溢出漏洞(发布日期:2003-10-17)
【漏洞描述】:微软Windows中的Messenger服务存在一个缓冲区溢出漏洞,在向缓冲区保存消息数据之前,由于没有正确检查消息长度,可能被攻击者利用来远程执行任意代码。黑客可能通过向Windows系统发送恶意的消息来使Messenger服务崩溃,或者以本地系统权限执行任意指令,这将使黑客完全控制被攻击系统。
【解决办法】:微软提供了修复此漏洞的补丁,WinXP用户使用自带的“Windows update”功能下载最新补丁,也可以通过微软的安全公告下载补丁(http://www.microsoft.com/technet/security/bulletin/MS03-043.asp。
如果不能安装补丁,应该在个人防火墙上禁止不可信主机访问NETBIOS和RPC端口135、 137、138、139(TCP/UDP);禁用Messenger服务。打开“开始”/设置/控制面板,双击“管理工具”/服务,找到并双击“Messenger”,在“启动类型”的中选择“已禁用”,点击“停止”,然后点击“确定”。
十一、DirectX 中未经检查的缓冲区漏洞(发布日期:2003-7-23)
【漏洞描述】:DirectX是由一组低级应用程序编程接口(API)组成,Windows 程序使用这组接口获取多媒体支持。在DirectX 内,DirectShow技术执行客户端音频和视频的提供、处理及输出。在 DirectShow 用来检查 MIDI (.MID) 文件参数的功能中,存在两个具有相同效果的缓冲区溢出,黑客可以利用这些缺陷在安全上下文中执行代码。
黑客通过以下方法利用此漏洞:精心创建一个 MIDI 文件,然后将它置于一个网站或网络共享位置,或通过一个 HTML 电子邮件发送它,如果用户打开MIDI 文件、或HTML 电子邮件时,这个漏洞就会被利用。成功的攻击可导致 DirectShow 或使用 DirectShow 的应用软件出现问题,或导致用户的计算机在安全上下文中运行攻击者的代码。
【解决办法】:你可以到以下地址下载安装该问题的安全补丁,http://www.microsoft.com/china/security/Bulletins/MS03-030.asp,此修补程序可以确保打开MIDI文件时,DirectX会正确地验证参数,从而消除此漏洞。
十二、DCOM RPC 接口中的缓冲区溢出漏洞(发布日期:2003-7-16):“冲击波”蠕虫病毒
【漏洞描述】:远程过程调用 (RPC)提供了一种进程间通信机制,通过该机制,在一台计算机上运行的程序可以顺畅地执行某个远程系统上的代码。RPC 中处理通过 TCP/IP消息交换的部分有一个漏洞,此问题是由错误地处理格式不正确的消息造成的。这种特定的漏洞影响分布式组件对象模型 (DCOM) 与 RPC 间的一个接口,此接口侦听 TCP/IP 端口 135。
任何能135 端口发送 TCP 请求的用户都能利用此漏洞,因为Windows的RPC 请求在默认情况下是打开的。要发动此类攻击,黑客要向 RPC 服务发送一条格式不正确的消息,从而造成目标计算机受制于人,攻击者可以在它上面执行任意代码,能够对服务器随意执行操作,包括更改网页、重新格式化硬盘或向本地管理员组添加新的用户。
去年“冲击波”蠕虫及其变种病毒就是利用了该漏洞,病毒在TCP 135端口上扫描随机的IP地址范围,以便搜索容易攻击的系统。它试图使用DCOM RPC漏洞,通过开放的RPC端口传播。
【解决办法】:微软为此发布了安全补丁,该补丁修改 DCOM了接口,使之能够检查向它传递的信息,这样也就堵住了漏洞,防止感染“冲击波”病毒。建议下载安装该补丁(http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp)。如果不能安装补丁,应该如下操作:
1、在防火墙上封堵 135 端口。
135 端口用于启动与远程计算机的 RPC 连接。在防火墙上封堵 135 端口,可以帮助防火墙内的系统防范通过利用此漏洞进行的攻击。
2、Internet 连接防火墙。
使用 WinXP/2003 中的 Internet 连接防火墙,则默认情况下会阻止来自 Internet 的入站 RPC 通信信息。
3、禁用DCOM
如果你的机器是网络的一部分,则该计算机上的 COM 对象将能够通过 DCOM 网络协议与另一台计算机上的 COM 对象进行通信,你可以禁用自己机器上的 DCOM,帮助其防范此漏洞。
十三、Windows Shell中未经检查的缓冲区的漏洞(发布日期:2003-7-16)
【漏洞描述】:Windows Shell 负责提供 Windows 用户界面的基本框架(例如Windows 桌面),帮助定义用户的计算会话(包括组织文件和文件夹),以及提供启动应用程序的方法等。Windows Shell使用的某项功能中存在一个未经检查的缓冲区,它可以从某些文件夹中提取自定义属性信息。黑客可以利用此缺陷发动攻击,在你的系统上运行代码,从而造成安全漏洞。成功利用该漏洞的攻击者即可完全控制受影响的系统,包括安装程序;查看、更改或删除数据;或者创建拥有完全权限的新帐户。
黑客通过下面的方法利用此漏洞:创建一个 desktop.ini 文件,在此文件包含一个恶意的自定义属性,然后将此文件置于一个网络共享位置,或通过 HTML 电子邮件发送此文件。如果你浏览了存储此文件的共享文件夹,该漏洞就将被利用。另外,HTML电子邮件可能包含一些代码,这些代码可自动将用户导航到一个包含有恶意文件的共享文件夹。一旦攻击成功,将导致 Windows Shell 失败,或者导致黑客的代码在用户机器的安全上下文中运行。
【解决办法】:安装了WinXP 和WinXP Service Pack 1的用户立即到以下地址http://www.cert.org.cn/articles/hole/common/2004071421822.shtml下载补丁,然后进行更新,此补丁也将包含在 Windows XP Service Pack 2 中。
十四、“压缩文件夹”功能漏洞(发布日期:2002-10-2)
【漏洞描述】:WinXP的“压缩文件夹”功能允许你将zip文件视作普通文件夹处理,创建zip文件,添加文档到zip文件中或解压缩zip文件。“压缩文件夹”功能中有两个漏洞,其中最严重的一个可以根据攻击者的选择运行代码。
在解压缩zip文件时,程序中会有一个未经检查的缓冲,以存放被解压文件。一个安全隐患由此而生,因为在试图以一个特殊而又畸形的文件名(包含在一个zip文件中)打开一个文件时很可能会导致浏览器崩溃,或者导致攻击者的代码被运行。 解压缩功能会在一个非用户指定目录中放置文件,也就是说这个文件放在了一个不该放的位置,既不是用户指定的目录,也不是其子目录。这就可使攻击者在一个用户系统已知的位置放置文件,比如在“开始”目录中放置一个程序。
【解决办法】:攻击者会诱使用户接收、存储和打开他提供的zip文件,诱使用户接收zip文件到用户主机上。建议用户不要从不信任的人那里接收邮件附件,也不要从不信任的互联网站点上下载文件。
十五、Microsoft 虚拟机漏洞(发布日期:2002-3-18)
【漏洞描述】:Microsoft VM 是 Win32 操作环境下的一个虚拟机,它运行在WinXP/95/98/Me/NT/2000之上,Microsoft虚拟机存在两个漏洞,它们可以造成信息泄漏,任意运行攻击代码。
第一个漏洞是HTTP 代理重定向。该缺陷只影响使用代理服务器的客户端,强烈建议使用SSL加密诸如用户名、密码、信用卡账号等敏感信息,如果有这样的加密措施保护,那么即使攻击者利用本文描述的缺陷查看用户会话,也看不到诸如密码、账号等敏感信息,从而保护正常的网络浏览。第二个漏洞是虚拟机(MS Java Virtual Machine)校验器。该缺陷只影响JAVA applet, 不影响Java应用程序,利用此漏洞执行攻击需要特别的技术和技能,攻击者必须引诱用户访问受其控制的页面,该页面包含了恶意代码。
【解决办法】:微软已经发布了针对这些漏洞的修复,请到以下地址http://www.microsoft.com/technet/security/bulletin/ms02-013.asp下载Microsoft VM build 3805版本。
十六、即插即用服务(UPnP)导致的缓冲溢出(发布日期:2001-12-20)
【漏洞描述】:网络设备利用UPnP(Universal Plug and Play通用即插即用协议),可以找出同一网络中连接的其它设备,类似于即插即用程序,安装了新硬件后让PC自动找到硬件。UPnP存在缓冲区溢出安全漏洞,当处理 NOTIFY命令中的Location字段时,如果IP地址、端口和文件名部分超长,就会发生缓冲区溢出,由此造成服务器程序的一些进程,其内存空间的内容被覆盖。由于UPnP服务运行在系统的上下文,因此利用该漏洞,黑客可以取得其他PC的完全控制权,或者发动DOS攻击。如果他知道某一PC的IP地址,就可以通过互联网控制该PC,甚至在同一网络中,即使不知道PC的IP地址,也能够控制该PC。
【解决办法】:WinXP用户应该立即安装该补丁,你可以从微软的网站下载该补丁程序。如果不下载安全补丁,由于WinXP打开了UPnP(通用即插即用)功能,因此应该关闭UPnP服务,堵住此类漏洞:单击XP的控制面板/管理工具/服务,双击“Universal Plug and Play Device Host”服务,在启动类型中选择“已禁用”关闭UPnP服务。
十七、热键功能漏洞
【漏洞描述】:热键功能是WinXP的系统服务之一,一旦用户登陆WinXP,热键功能也就随之启动,于是你就可以使用系统默认的、或者自己设置的热键了。假如你的电脑没有设置屏幕保护程序和密码,你离开电脑一段时间,到别处去了,WinXP就会很聪明地进行自动注销,不过这种“注销”并没有真正注销,所有的后台程序都还在运行(热键功能当然也没有关闭),因此其他人虽然进不了你的桌面,看不到你的电脑里放了些什么,但是却可以继续使用热键。
此时如果有人在你的机器上,用热键启动一些网络相关的敏感程序(或服务),用热键删除机器中的重要文件,或者用热键干其他的坏事,后果也是挺严重的!因此漏洞由此而生。
【解决办法】:在离开计算机的时候,按下Windows键+L键,锁定计算机;或者打开屏幕保护程序、并设置密码;或者检查可能会带来危害的程序和服务的热键,取消这些热键。