怎樣應對IDS八大高危事件

申請免費試用、咨詢電話：400-8352-114

本文作者針對目前存在的比較嚴重的系統(tǒng)漏洞、異常攻擊等八大安全監(jiān)控高風險事件，提出了相應的解決方案，以確保入侵檢測系統(tǒng)（IDS）更好地發(fā)揮作用。

1. Microsoft Windows Messenger服務遠程堆溢出漏洞

Microsoft Windows XP、Windows NT、Windows ME、Windows 9X、Windows 2000、Windows 2003等幾乎所有的Windows操作系統(tǒng)都會受此漏洞影響。Windows Messenger服務用于服務器與客戶端之間互相發(fā)送一些短消息。Microsoft Windows Messenger服務存在堆溢出問題，遠程攻擊者可以利用這個漏洞以系統(tǒng)權限在目標機器上執(zhí)行任意指令。問題存在于Messenger服務程序的search-by-name函數(shù)中，攻擊者提交特定序列的字符串給這個函數(shù)可造成堆溢出，精心構建提交數(shù)據(jù)可能以系統(tǒng)權限在目標機器上執(zhí)行任意指令。消息通過NetBIOS或者RPC提交給消息服務，因此可以通過封閉NETBIOS端口(137-139)和使用防火墻過濾UDP廣播包來阻擋此類消息。

建議

臨時解決方法：如果不能立刻安裝補丁或者升級，建議采取以下措施以降低威脅：

● 在邊界防火墻或者個人防火墻上禁止不可信主機訪問NETBIOS和RPC端口135、137、139(TCP/UDP);

● 禁用Messenger服務。打開“開始”，(或打開“設置”)點擊“控制面板”，然后雙擊“管理工具”，雙擊“服務”，找到并雙擊“Messenger”, 在“啟動類型”的下拉框中選擇“已禁用”，然后點擊“停止”，然后點擊“確定”。

永久解決辦法：打系統(tǒng)安全公告MS03-043相應的補丁。

2. Windows Exchange Server遠程緩沖區(qū)溢出漏洞

Windows 2000、Windows XP、Windows NT會受此漏洞影響。Microsoft Exchange Server是一款Microsoft公司開發(fā)的郵件服務程序。Exchange Server 2.5和2000對惡意verb請求缺少充分處理，遠程攻擊者可以利用這個漏洞以Exchange Server進程權限在系統(tǒng)上執(zhí)行任意指令。Exchange Server 5.5中在Internet郵件服務中存在一個安全問題，允許未驗證用戶連接Exchange Server的SMTP端口，發(fā)送特殊構建的擴展verb請求，導致分配一個超大內(nèi)存，這可能使Internet郵件服務關閉或者使服務停止響應。在Exchange 2000 Server中同樣存在這個問題，這種請求可引起類似Exchange Server 5.5的拒絕服務。另外如果攻擊者精心構建提交數(shù)據(jù)，可能以Exchange Server進程權限在系統(tǒng)上執(zhí)行任意指令。

建議

臨時解決方法：

● 用SMTP協(xié)議檢測過濾SMTP協(xié)議擴展；

● 使用防火墻限制SMTP的使用；

● 只接收驗證過的SMTP會話，通過使用SMTP AUTH命令限制只接收驗證過的會話。

永久解決辦法：打系統(tǒng)補丁。

3. Microsoft MSN Messenger遠程信息泄露漏洞

Microsoft MSN Messenger Service會受此漏洞影響。 MSN Messenger在處理文件請求時存在安全問題，遠程攻擊者可以利用這個漏洞獲得系統(tǒng)中文件內(nèi)容。攻擊者可以發(fā)送特殊構建的文件請求連接運行MSN Messenger的用戶來觸發(fā)此漏洞，成功利用此漏洞，攻擊者可以在沒有用戶知曉下查看硬盤上文件內(nèi)容。不過攻擊者必須知道文件在系統(tǒng)上的位置。

建議

臨時解決方法：建議采取使用防火墻過濾7007和7008端口以降低威脅。

永久解決辦法：打系統(tǒng)安全公告MS04-010相應的補丁。

4. Windows Help和Support Center遠程緩沖區(qū)溢出漏洞

Windows XP、Windows 2000、Windows 2003、Windows NT會受此漏洞影響。

建議

臨時解決方法：取消HCP協(xié)議的注冊，刪除HKEY_CLASSES_ROOTHCP注冊表鍵值可取消HCP協(xié)議的注冊。

永久解決辦法：打微軟MS03-044公告相應的補丁。

5. Netscreen遠程拒絕服務攻擊漏洞

NetScreen ScreenOS會受此漏洞影響。Netscreen是一款處理防火墻安全解決方案，實現(xiàn)線速數(shù)據(jù)包處理能力。Netscreen存在SSH1 CRC32相關問題，遠程攻擊者可以利用這個漏洞進行拒絕服務攻擊。默認Netscreen不啟用SSH，Netscreen也不鼓勵客戶使用SSH服務，但是在GUI中可以設置使用SSH服務，不過這個服務只開啟在可信接口中，除非增加規(guī)則轉發(fā)信息到其他接口/端口中。如果Netscreen開啟了這個SSH服務，就存在拒絕服務攻擊條件。較新版本的ssh1守護程序中所帶的一段代碼中存在一個整數(shù)溢出問題。問題出在deattack.c，由于在detect_attack()函數(shù)中錯誤地將一個16位的無符號變量當成了32位變量來使用，導致表索引溢出問題。這將允許一個攻擊者覆蓋內(nèi)存中的任意位置的內(nèi)容，攻擊者可能遠程獲取root權限。利用任何相關CRC32漏洞的攻擊代碼，都可以導致設備崩潰，需要重新啟動才能恢復正常功能。但是Netscreen響應認為這個拒絕服務不是由于CRC32漏洞問題引起的，不過CRC32漏洞的攻擊代碼可以導致拒絕服務。

建議

臨時解決方法：建議暫時不使用SSH服務以降低威脅。

永久解決辦法：隨時關注軟件商主頁以獲取最新版本。

6. Microsoft Windows NtSystemDebugControl()內(nèi)核API函數(shù)權限提升漏洞

Microsoft Windows XP SP1和Windows 2003會受此漏洞影響。Microsoft Windows操作系統(tǒng)內(nèi)核API函數(shù)存在安全問題，本地攻擊者可以利用這個漏洞提升權限。ZwSystemDebugControl()從ntdll.dll導出，調(diào)用Windows操作系統(tǒng)函數(shù)NtSystemDebugControl()，這個函數(shù)在ring 0模式下執(zhí)行，擁有SeDebugPrivilege權限的調(diào)試者可以利用這個函數(shù)獲得權限提升。

建議

臨時解決方法：建議在所有用戶/組中去掉調(diào)試權限以降低威脅。

永久解決辦法：隨時關注廠商的主頁以獲取最新版本。

7. Microsoft IIS HTTP頭部處理緩沖區(qū)溢出漏洞

Windows 2000、Windows XP、Windows NT4.0、IIS4.0/5.0會受此漏洞影響。IIS（Internet Information Server）是Microsoft Windows系統(tǒng)默認自帶的Web服務器軟件。 IIS 4.0/5.0/5.1在處理HTTP頭部信息的代碼中存在遠程緩沖區(qū)溢出漏洞，遠程攻擊者可以利用此漏洞遠程執(zhí)行命令或造成拒絕服務。IIS在收到一個HTTP請求時，會先對其進行分析，它根據(jù)分隔符來區(qū)分不同的區(qū)域，并將不同域的內(nèi)容保存到適當大小的緩沖區(qū)中。為確保應有的分隔域存在且處于合理的位置，IIS會在解析HTTP報頭的域之間進行一個安全檢查。但是利用這一漏洞，攻擊者有可能欺騙這一檢查，使IIS誤以為分隔域確實存在，IIS可能會將一個超過IIS預期長度的HTTP頭部域數(shù)據(jù)保存到一個緩沖區(qū)中，從而造成緩沖區(qū)溢出。要利用這個漏洞，目標IIS服務器必須允許使用ASP ISAPI。如果攻擊者使用隨機數(shù)據(jù)，可能使IIS服務崩潰（IIS 5.0/5.1會自動重啟）。如果精心構造發(fā)送的數(shù)據(jù)，也可能允許攻擊者執(zhí)行任意代碼。成功地利用這個漏洞，對于IIS 4.0，遠程攻擊者可以獲取SYSTEM權限，對于IIS 5.0/5.1攻擊者可以獲取IWAM_computername用戶的權限。

建議

臨時解決方法：

● 如果不需要使用ASP腳本，應該立刻刪除“.asp”的腳本映射：打開Internet 服務管理器，右擊服務器，在菜單中選擇“屬性”欄，選擇“主屬性”，選擇 WWW 服務→編輯→主目錄→配置，在擴展名列表中刪除“.asp”項，保存設置,然后重啟IIS服務。

● 可以使用微軟提供的一個安全工具URLScan來限制攻擊者利用這個漏洞遠程執(zhí)行命令。URLScan缺省不允許URL中包含非ASCII字符，因此可以有效地增大攻擊者攻擊的難度。但這不能防止攻擊者進行拒絕服務攻擊。

永久解決辦法：安裝微軟安全公告MS02-018相應的補丁。

8. Windows媒體播放器外殼下載代碼執(zhí)行漏洞

Microsoft Windows Media Player 7.1、Windows Media Player XP、Windows XP、Windows NT、Windows 98、Windows ME等系統(tǒng)都會受此漏洞影響。

Windows媒體播放器在處理下載外殼文件時存在問題，遠程攻擊者可以利用這個漏洞利用惡意頁面上傳任意文件到目標系統(tǒng)中任意位置。當Internet Explorer遇到MIME類型為“application/x-ms-wmz”的文檔時，就會以“/layout”命令行選項啟動wmplayer.exe來指示媒體播放器從指定的URL下載外殼文件到Media Player的外殼文件目錄中。為防止部分基于Internet的攻擊，程序在下載路徑中使用隨機元素，這樣可使下載的外殼文件名不會被攻擊者猜測出來。

Media Player存在一個缺陷，上面描述的功能可在URL中使用HEX編碼的反斜線符號來繞過，如果可指定惡意URL并誘使用戶訪問，下載的文件夾就可以被選擇。如果文件名不是以“.WMZ”結尾，Media Player一般會在文件后增加這個擴展名，但是如果以特殊方法使用Content-disposition HTTP頭字段，這個限制就可以繞過并且可以隨意選擇擴展名，因此攻擊者結尾這兩個問題就可以把任意文件存放在目標用戶任意地方。攻擊者可以利用惡意頁面或惡意HTML形式EMAIL來誘使用戶訪問，下載外殼文件，觸發(fā)漏洞。

建議

臨時解決方法：Outlook Express 6.0和Outlook 2002默認設置是在限制區(qū)域中打開HTML郵件，使用Outlook 98和2000的用戶需要通過Outlook E-mail安全升級來修正此漏洞。永久解決辦法：安裝微軟安全公告MS03-017相應的補丁。(ccw)