WindowsServer 蓝屏分析.docVIP

Windows Server 2008蓝屏漏洞揭秘 /art/200910/158645.htm 9月初，在各大安全网站上登载了一个Windows操作系统的蓝屏漏洞的消息，这个漏洞的出现如同一颗石子，打破了近半年来Windows没有爆出重大漏洞的沉寂。 蓝屏漏洞威胁的是服务器操作系统Windows Server 2008，这意味着如果Windows Server 2008蓝屏，将导致服务器停止服务……目前，漏洞的利用代码还限制在小范围内，不过漏洞攻击工具却已经研制出来了，现在为大家揭秘蓝屏漏洞的利用过程。 问题： Windows Server 2008蓝屏漏洞 危害： 服务器出现蓝屏停止服务 危机：服务器的蓝屏隐痛 我是安天实验室的苗得雨，我下面给大家说的就是蓝屏漏洞。蓝屏漏洞的正式名称是SMB v2漏洞，到截稿为止该漏洞还没有补丁(预计10月第二个星期出补丁)。蓝屏漏洞的危害到底有多大?对我们普通网民会带来危害吗?蓝屏漏洞主要威胁的是使用Windows Server 2008的服务器，对Vista系统也有一定的影响。不过现在的黑客都变得务实起来，不会对市场份额尴尬的Vista系统感兴趣。 使用Windows Server 2008作为服务器操作系统的，是邮件服务器、网站服务器、数据服务器、域名服务器等。一旦服务器蓝屏了，管理员很可能不会第一时间知道——因为很多服务器都没有配专用的显示器，服务器就会在一段时间内停止服务。 如果是网站服务器停止服务了，服务器上的所有网站都无法访问;如果是邮件服务器停止服务了，邮件就不能中转发送;如果是数据服务器停止服务了，可能会导致数据支持的系统崩溃，例如网游、网银等系统;如果是域名服务器停止服务了，“断网门”可能再次上演。 2007年，微软发布了替换Windows Server 2003的新一代服务器操作系统Windows Server 2008，该系统支持多核处理器，拥有64-bit技术、虚拟化以及优化的电源管理等功能，吸引了许多企业用户将服务器操作系统更换为该系统。 据市场调研机构Gartner提供的数据显示，在2007年全球发货的服务器中，Windows服务器的份额已经增长到66.8%，其中 Windows Server 2008占了主流。在2008年~2009年，Windows Server 2008成为微软的主打产品之一，份额呈现上升趋势。根据以上数据测算，全球大约有五分之一的服务器使用的操作系统是Windows Server 2008。 原理：SMB溢出 这次导致蓝屏漏洞出现的原因，是一个名为SRV2.SYS的驱动文件不能正确地处理畸形数据结构请求。如果黑客恶意构造一个恶意畸形的数据报文发送 给安装有Windows Server 2008的服务器，那么就会触发越界内存引用行为，让黑客可以执行任意的恶意代码(图1)。 编注：SMB(Server Message Block，又称Common Internet File System)是由微软开发的一种软件程序级的网络传输协议，主要作用是使一个网络上的机器共享计算机文件、打印机、串行端口和通讯等资源。它也提供认证的进程间通信机能。它主要用在装有Microsoft Windows的机器上，这样的机器被称为Microsoft Windows Network。SMB v2是SMB协议的最新升级版。 做一个形象的比喻，这就如同一座大桥的检查站一样，检查人员只根据卡车上标注的吨位来估算卡车能否通过这座桥，而事实上黑客可以让一辆超载的卡车同 样标注上合格的吨位通过检查站。由于没有做真正的称重，检查人员只凭借标注吨位来识别，最终导致超载的卡车危及大桥安全，导致桥毁车亡。 模拟：实测蓝屏漏洞 步骤1：准备好蓝屏漏洞的测试程序(该程序由安天实验室特制，不过由于危害太大，不能提供下载)，然后在网络中搜寻、下载一款端口扫描程序，此次测试我们选择的是L-ScanPort端口扫描器。 步骤2：打开L-ScanPort端口扫描器(图2)，在IP地址一栏中输入想扫描的网络段落，例如“”作为起始段，“55”作为结束段。然后在软件界面中找到“端口列表”一项，勾选上“445”端口，点击“GO”按钮扫描。 如果有开启445端口的Windows Server 2008，那么就意味着黑客可以发动蓝屏攻击了。测试中，我们准备了一台装有Windows Server 2008并开启SMB共享协议的服务器，扫描记录下该服务器IP地址之后，准备发动攻击测试。 步骤3： 在扮演攻击方的电脑中，我们打开“命令提示符”，将测试程序放在C盘根目录，然后在C :\根目录下，输入攻击命令：SMBv2.exe [被攻击服务器IP地址](图3)。 我们以最快的速度跑到被攻击测试服务器面前，看到了下面的一