Windows Server 2008藍屏漏洞揭秘
9月初,在各大安全網站上登載了一個Windows操作系統的藍屏漏洞的消息,這個漏洞的出現如同一顆石子,打破了近半年來Windows沒有爆出重大漏洞的沉寂。
藍屏漏洞威脅的是服務器操作系統Windows Server 2008,這意味著如果Windows Server 2008藍屏,將導致服務器停止服務……目前,漏洞的利用代碼還限制在小范圍內,不過漏洞攻擊工具卻已經研制出來了,現在為大家揭秘藍屏漏洞的利用過程。
問題: Windows Server 2008藍屏漏洞
危害: 服務器出現藍屏停止服務
危機:服務器的藍屏隱痛
我是安天實驗室的苗得雨,我下面給大家說的就是藍屏漏洞。藍屏漏洞的正式名稱是SMB v2漏洞,到截稿為止該漏洞還沒有補丁(預計10月第二個星期出補丁)。藍屏漏洞的危害到底有多大?對我們普通網民會帶來危害嗎?藍屏漏洞主要威脅的是使用Windows Server 2008的服務器,對Vista系統也有一定的影響。不過現在的黑客都變得務實起來,不會對市場份額尷尬的Vista系統感興趣。
使用Windows Server 2008作為服務器操作系統的,是郵件服務器、網站服務器、數據服務器、域名服務器等。一旦服務器藍屏了,管理員很可能不會第一時間知道——因為很多服務器都沒有配專用的顯示器,服務器就會在一段時間內停止服務。
如果是網站服務器停止服務了,服務器上的所有網站都無法訪問;如果是郵件服務器停止服務了,郵件就不能中轉發送;如果是數據服務器停止服務了,可能會導致數據支持的系統崩潰,例如網游、網銀等系統;如果是域名服務器停止服務了,“斷網門”可能再次上演。
2007年,微軟發布了替換Windows Server 2003的新一代服務器操作系統Windows Server 2008,該系統支持多核處理器,擁有64-bit技術、虛擬化以及優化的電源管理等功能,吸引了許多企業用戶將服務器操作系統更換為該系統。
據市場調研機構Gartner提供的數據顯示,在2007年全球發貨的服務器中,Windows服務器的份額已經增長到66.8%,其中Windows Server 2008占了主流。在2008年~2009年,Windows Server 2008成為微軟的主打產品之一,份額呈現上升趨勢。根據以上數據測算,全球大約有五分之一的服務器使用的操作系統是Windows Server 2008。
原理:SMB溢出
這次導致藍屏漏洞出現的原因,是一個名為SRV2.SYS的驅動文件不能正確地處理畸形數據結構請求。如果黑客惡意構造一個惡意畸形的數據報文發送給安裝有Windows Server 2008的服務器,那么就會觸發越界內存引用行為,讓黑客可以執行任意的惡意代碼(圖1)。
編注:SMB(Server Message Block,又稱Common Internet File System)是由微軟開發的一種軟件程序級的網絡傳輸協議,主要作用是使一個網絡上的機器共享計算機文件、打印機、串行端口和通訊等資源。它也提供認證的進程間通信機能。它主要用在裝有Microsoft Windows的機器上,這樣的機器被稱為Microsoft Windows Network。SMB v2是SMB協議的最新升級版。
做一個形象的比喻,這就如同一座大橋的檢查站一樣,檢查人員只根據卡車上標注的噸位來估算卡車能否通過這座橋,而事實上黑客可以讓一輛超載的卡車同樣標注上合格的噸位通過檢查站。由于沒有做真正的稱重,檢查人員只憑借標注噸位來識別,最終導致超載的卡車危及大橋安全,導致橋毀車亡。
#p#模擬:實測藍屏漏洞
步驟1:準備好藍屏漏洞的測試程序(該程序由安天實驗室特制,不過由于危害太大,不能提供下載),然后在網絡中搜尋、下載一款端口掃描程序,此次測試我們選擇的是L-ScanPort端口掃描器。
步驟2:打開L-ScanPort端口掃描器(圖2),在IP地址一欄中輸入想掃描的網絡段落,例如“192.168.1.1”作為起始段,“192.168.255.255”作為結束段。然后在軟件界面中找到“端口列表”一項,勾選上“445”端口,點擊“GO”按鈕掃描。
如果有開啟445端口的Windows Server 2008,那么就意味著黑客可以發動藍屏攻擊了。測試中,我們準備了一臺裝有Windows Server 2008并開啟SMB共享協議的服務器,掃描記錄下該服務器IP地址之后,準備發動攻擊測試。
步驟3: 在扮演攻擊方的電腦中,我們打開“命令提示符”,將測試程序放在C盤根目錄,然后在C :\>根目錄下,輸入攻擊命令:SMBv2.exe [被攻擊服務器IP地址](圖3)。
我們以最快的速度跑到被攻擊測試服務器面前,看到了下面的一幕(圖4)。
防范:沒有補丁這樣防
由于目前該漏洞沒有補丁,所以我們給出一個臨時解決方案,管理員必須手動在防火墻上關閉139端口和445端口,這種方法可以屏蔽來自英特網的所有的未經請求的入站通信,但是停止該協議后,也就意味著用戶將不再能正常使用網絡內共享的文檔和打印機了。
深度分析
大多數安全研究員不相信該漏洞僅可以實現藍屏效果,據我們所知,這個微軟官方一度認為不可能實現其他攻擊行為的漏洞,變成了可以實現遠程執行代碼的高危漏洞。有安全研究員發現,通過新的手段可以利用該漏洞執行黑客制定的惡意代碼,例如后門、木馬,最終實現控制整臺服務器的目的。
如果黑客能夠實現控制文件共享服務器,也就意味著黑客盜取保存在Windows Server 2008服務器中的企業數據將易如反掌。事件的嚴重性超出了許多安全組織的想象,在此時,或許全球的黑客都在瘋狂地分析該漏洞,緊隨其后的很可能就是利用該漏洞發動的服務器蠕蟲攻擊風暴……
【編輯推薦】
