94年第四季定期弱点扫描之说明与修补方式.pdf

94 年第四季定期弱點掃描之說明與修補方式 一、 Windows SMB 協定可讓攻擊者執行系統程式弱點(896422—MS 05-027) (一)簡要說明： Windows 主機使用 Server Message Block (SMB)協定，或稱為 Common Internet File System (CIFS)的協定，使 windows 主機可以將另一Windows 主機目 錄檔案當成是本機上的目錄檔案使用，即所謂的網路芳鄰分享。而這個協定亦可 以用於Internet 網段，即位於不同網段的 Windows 主機也可使用此協定進行目錄 檔案的分享 假如傳送過程中未有其他的網路設備阻擋時( 或是遠端管理功能用) 途。 今年(2005 年)6 月中，微軟之 SMB 協定被發現存在嚴重弱點，結果將導致 攻擊者得以經由此弱點取得系統的完全控制權，由於 SMB 協定所使用的通訊埠 為 TCP port 139或是 TCP port 445 ，因此若是Windows 主機存在此弱點且未有防 火牆阻擋來自 Internet 對這些 ports的連線，將導致來自遠端的攻擊者得以經由 此弱點入侵此系統，並獲得完全之掌控權。 本弱點於微軟的本身的弱點編號為 MS 05-027 ，而CVE的弱點編號為 CAN-2005-1206 ，本弱點的嚴重程度為Critical ，為十分嚴重之弱點。 影響平台： 除 Windows 98, Windows 98 SE 與 Windows ME外，所有的 Windows作業系 統系列皆存在此問題(如 Windows 2000, Windows XP 與 Windows 2003) ，至於 Windows NT 4.0由於已不再推出修補程式，微軟網站上並無此系統的說明，可能 亦存在此問題。 (二)檢測方法 1. 使用弱點掃描軟體 —Nessus檢測 使用 Nessus掃描軟體，並且使用 Plugin ID 18502 進行偵測，依此判斷是否 存在此弱點。 2. 使用微軟工具檢查 使用微軟的 MBSA 工具檢查此修補程式是否已安裝，或者使用 Windows Update 工具檢查是否已安裝此修補程式。 (三)修補方式 下載 MS05-027的修補程式，網址為： /technet/security/bulletin/MS05-027.mspx 若是 Windows NT 4的系統，因不再推出修補程式，建議更新至較新版本。 或者使用 Windows Update服務進行修補，若為多台主機情況，亦可使用 SUS 或 SMS 進行修補。另在安裝修補程式之外，建議使用防火牆阻擋來自 Internet 對內部系統含內部網路或是( DMZ區的系統 )之 TCP port 139 與 445的存取，以 防此弱點遭受利用。 ( 四) 參考資料 微軟官方說明文件： /technet/security/bulletin/ms05-027.mspx CVE 對此弱點之說明文件： /cgi-bin/cvename.cgi?name=CAN-2005-1206 二、 Windows Plug and Play 服務可讓攻擊者執行系統程式弱點 (899588—MS 05-039) (一)簡要說明： Windows使用 Plug and Play服務用來偵測系統安裝的硬體，譬如於 Windows 系統上接上滑鼠時，系統將偵測該滑鼠，載入必要的驅動程式以讓使用者使用。 本項服務於2005 年 8月遭發現存在 Buffer overflow的弱點，結果導致遠端攻擊 者可經由傳送特定格式之封包給 TCP port 445 ，讓攻擊者取得系統上的完整權 限，或者產生阻斷服務 (DoS)攻擊之情況，另已發現有自動化的電腦蠕蟲(例如 Zotob worm) 針對此弱點進行自動攻擊，實為嚴重之問題，此外本機上的非管理 者權限使用者亦可能經由此弱點取得管理者之權限。受本項弱點影響之平台包含 Windows 2000, W