97年第一季定期弱点扫瞄之说明与修补方式.pdfVIP

97 第 一季定期弱點掃瞄 之說明 與修補 方式 一、Window 系統Server服 務可導 致攻擊者得執行任意程式弱點 (MS06-035) ( 簡要說明) Windows中提供 Mailslot通訊的方 式 ，是藉由 SMB傳送協 定傳 送封包 。本弱點 出現的情況是在 Windows 系統上用 以管理Server Message Block (SMB)封包的驅動程式 SR V.SYS ，由於其處理方式 疏失，可讓攻擊者藉由 特殊設計的 SMB 封包觸發弱點 ，導致 讓攻擊者在無任何權限的前 提下，得以獲得系統上 System” 之權限 ，完全掌 控受駭 系統，進而竊取 機密資料或利用 系統 執行任意程式 ，如攻擊 其他系統或刪除 系統上 要檔 案等。 依據微軟 對此弱點之風險分析 ，此弱點屬 於嚴 層級 。另存 在此弱點的系 統包含有 Windows 2000 SP4 (包含 SP3 與之前) 、 Windows XP SP1 與SP2及 Windows 2003 與 Windows 2003 SP1 系統。 (二)檢測 方法 1.使用弱點掃描軟體 —Nessus檢測 使用 Nessus掃描軟體 ，並且使用 Plugin ID 22034 進行偵測 ， 依此判斷是否存在此弱點。 2.使用微軟 工具檢查 使用微軟的 MBSA 工具檢查此修補程 式是否已 安裝或者， 使 用 Windows Upda te 工具檢查是否已 安裝此修補程 式。 (三)修補 方式 下載 MS06-035的修補程 式，網址為： http ://www.microsof /technet/security/bulletin/ms06-035.mspx 或者使用 Windows Upda te服務更新 可於， IE 瀏覽器中的 「工具」 中選擇 「Windows Upda te 」，另外 Windows N T 4.0 Workstation 、 Windows N T 4.0 Server 與Windows 2000 SP2及 Windows 2000 SP3皆已 超過微軟之維護期限，須將作業 系統全面更新 至較新的版 本 (如 Windows 2000 SP4 Windows XP 等) 方可修補此弱點。若為多 台主 機情況，可考慮使用 S US 、WS US或 SMS 進行修補 。 另外 ，由 於本弱點係藉由 TCP po rt 445 進行攻擊，因此若 無必 要，請使用防火牆阻擋外界對此通訊埠之連線 。 (四) 考資料 http :///cgi-bin/cvename.cgi?name=CVE-2006-1314 http ://www.tipp /security/advisories/ TSR T-06-02.html http ://www.microsof /technet/security/bulletin/ms06-035.mspx 二、Windows 系統Server服務可 導致攻擊者得執行任意程式弱點 (MS06-040) ( 簡要說明) 此弱點在於當 Server服務 於處理特殊設計之 MS RPC訊息時 ， 可能 導致無系統任何權限之 攻擊者得以獲得系統上 System” 之權限 ，完全掌 控受駭 系統，進而竊取 機密資料或利用 系統 執行任意程式 ，如攻擊 其他系統或刪除 系統上 要檔 案等。 依據微軟 對此弱點之風險分析 ，此弱點屬 於嚴 層級 。另存 在此弱點的系 統包含有 Windows 2000 SP4 包( 含 SP3 與之前) 、 Windows XP SP1 與SP2及 Windows 2003 與 Windows 2003 SP1 系統。 另據 2006/8/ 16張貼 於Security Focus的 消息指出，名為 W32. Warbot 的蠕蟲被發現嘗試利用此弱點 大量進行感染 攻擊。 (二)檢測 方法 1.使用弱點掃描軟體 —Nessus檢測