96年第一季定期弱点扫瞄之说明与修补方式.pdfVIP

96 年第一季定期弱點掃瞄之說明與修補方式 一、 Windows 系統Server服務可導致攻擊者得執行任意程式弱點 (MS06-035) ( )簡要說明： Windows中提供 Mailslot 通訊方式，其藉由 SMB傳送協定傳送兩種形式之 SMB 封包，一為TCP 形式，一為UDP 形式。前者提供連線導向之封包，後者 用以傳送非連線導向之封包 (例如廣播封包 ) 。本弱點出現的情況在於Windows 系統上用以管理Server Message Block (SMB) 封包的驅動程式SRV.SYS ，由於其 處理方式疏失可讓攻擊者藉由特殊設計的， SMB 封包觸發弱點 ，造成嚴重後果。 本弱點遭利用後，導致的後果在於可讓攻擊者在無任何權限的前提下，得以 獲得系統上 System 之權限，得以 完全掌控受駭 系統，諸 如竊取機密資料或利用 系統執行任意程式，如攻擊其他 系統或刪除 系統上重要檔案等 。 依據微軟對此弱點之風險分析 ，此弱點屬 於嚴重層級 。另存在此弱點的系統 包含有 Windows 2000 SP4 (包含 SP3 與之前) 、Windows XP SP1 與SP2及 Windows 2003 與Windows 2003 SP1 系統。 (二)檢測 方法 1.使用弱點掃描軟體—Nessus檢測 使用 Nessus掃描軟體 ，並且使用 Plugin ID 22034 進行偵測 ，依此判斷是否存 在此弱點。 2.使用微軟工具檢查 使用微軟的 MBSA 工具檢查此修補程式是否已安裝 ，或者使用 Windows Update 工具檢查是否已安裝此修補程式。 (三)修補 方式 下載 MS06-035的修補程式，網址為： http :///technet/security/bulletin/ms06-035.mspx 或者使用 Windows Update服務更新 ，可於IE 瀏覽器中的 「工具」中選擇 「Windows Update 」，另外 Windows NT 4.0 Workstation 、Windows NT 4.0 Server 與Windows 2000 SP2及 Windows 2000 SP3皆已超過微軟 之維護時限，務 必變更 到更新的版 本方可修補此弱點。 若為 多台主機情況，可考慮使用 SUS 、WSUS或 SMS 進行修補 。 最後由於本弱點係藉由 TCP port 445 進行攻擊，因此若 無必要， 使用防火 牆阻擋外界 對此通訊埠之連線。 (四) 參考資料 http :///cgi-bin/cvename.cgi?name=CVE-2006-1314 http :///security/advisories/TSRT-06-02.html http :///technet/security/bulletin/ms06-035.mspx 二、Windows 系統Server服務可導致攻擊者得執行任意程式弱點 (MS06-040) ( )簡要說明： 同為Windows 系統Server服務出現之弱點，但此弱點 與先前出現之弱點 (MS 06-035)不同屬， 於不同之弱點，為微軟內部自行發現之弱點，此弱點在於當 Server 服務於處理特殊設計之 MS RPC訊息時 ，結果可能 導致無系統任何權限之攻擊者 得以獲得系統上 System 之權限， 完全掌控受駭 系統，諸 如竊取機密資料或利用 系統執行任意程式，如攻擊其他 系統或刪除 系統上重要檔案等 。值得特別留意的 是 ，本弱點雖 與MS 06-035同樣為出現在 Server服務之弱點，但兩者屬 於不同 之兩項弱點， 亦即同樣之 Server服務 先後出現兩項重 大弱點， 並需同時安裝各 自 之修補程式方可消弭弱點。 依據微軟對此弱點之風險分析 ，此弱點屬 於嚴重層級 。另存在此弱點的系統 包含有 Windows 2000 SP4 (包含 SP3 與之前) 、Windows XP SP1 與SP2及 Windows 2003 與Windows 2003 SP1 系統。 另據 2006/8/ 16張貼 於Security Focus的 消息指出，名為W32.Warbot的蠕蟲 被發現嘗試利用此弱點 大量進行感染 攻擊。 (二)檢測 方法 1.