Windows Server 2008藍(lán)屏漏洞的處理方案
藍(lán)屏漏洞威脅的是服務(wù)器操作系統(tǒng)Windows Server 2008,這意味著如果Windows Server 2008藍(lán)屏,將導(dǎo)致服務(wù)器停止服務(wù)……目前,漏洞的利用代碼還限制在小范圍內(nèi),不過(guò)漏洞攻擊工具卻已經(jīng)研制出來(lái)了,現(xiàn)在為大家揭秘藍(lán)屏漏洞的利用過(guò)程。
問(wèn)題: Windows Server 2008藍(lán)屏漏洞
危害: 服務(wù)器出現(xiàn)藍(lán)屏停止服務(wù)
危機(jī):服務(wù)器的藍(lán)屏隱痛
我是安天實(shí)驗(yàn)室的苗得雨,我下面給大家說(shuō)的就是藍(lán)屏漏洞。藍(lán)屏漏洞的正式名稱(chēng)是SMBv2漏洞,到截稿為止該漏洞還沒(méi)有補(bǔ)丁(預(yù)計(jì)10月第二個(gè)星期出補(bǔ)丁)。藍(lán)屏漏洞的危害到底有多大?對(duì)我們普通網(wǎng)民會(huì)帶來(lái)危害嗎?藍(lán)屏漏洞主要威脅的是使用Windows Server 2008的服務(wù)器,對(duì)Vista系統(tǒng)也有一定的影響。不過(guò)現(xiàn)在的黑客都變得務(wù)實(shí)起來(lái),不會(huì)對(duì)市場(chǎng)份額尷尬的Vista系統(tǒng)感興趣。
使用Windows Server 2008作為服務(wù)器操作系統(tǒng)的,是郵件服務(wù)器、網(wǎng)站服務(wù)器、數(shù)據(jù)服務(wù)器、域名服務(wù)器等。一旦服務(wù)器藍(lán)屏了,管理員很可能不會(huì)第一時(shí)間知道——因?yàn)楹芏喾?wù)器都沒(méi)有配專(zhuān)用的顯示器,服務(wù)器就會(huì)在一段時(shí)間內(nèi)停止服務(wù)。
如果是網(wǎng)站服務(wù)器停止服務(wù)了,服務(wù)器上的所有網(wǎng)站都無(wú)法訪問(wèn);如果是郵件服務(wù)器停止服務(wù)了,郵件就不能中轉(zhuǎn)發(fā)送;如果是數(shù)據(jù)服務(wù)器停止服務(wù)了,可能會(huì)導(dǎo)致數(shù)據(jù)支持的系統(tǒng)崩潰,例如網(wǎng)游、網(wǎng)銀等系統(tǒng);如果是域名服務(wù)器停止服務(wù)了,“斷網(wǎng)門(mén)”可能再次上演。
2007年,微軟發(fā)布了替換Windows Server 2003的新一代服務(wù)器操作系統(tǒng)Windows Server 2008,該系統(tǒng)支持多核處理器,擁有64-bit技術(shù)、虛擬化以及優(yōu)化的電源管理等功能,吸引了許多企業(yè)用戶將服務(wù)器操作系統(tǒng)更換為該系統(tǒng)。
據(jù)市場(chǎng)調(diào)研機(jī)構(gòu)Gartner提供的數(shù)據(jù)顯示,在2007年全球發(fā)貨的服務(wù)器中,Windows服務(wù)器的份額已經(jīng)增長(zhǎng)到66.8%,其中Windows Server 2008占了主流。在2008年~2009年,Windows Server 2008成為微軟的主打產(chǎn)品之一,份額呈現(xiàn)上升趨勢(shì)。根據(jù)以上數(shù)據(jù)測(cè)算,全球大約有五分之一的服務(wù)器使用的操作系統(tǒng)是Windows Server 2008。
原理:SMB溢出
這次導(dǎo)致藍(lán)屏漏洞出現(xiàn)的原因,是一個(gè)名為SRV2.SYS的驅(qū)動(dòng)文件不能正確地處理畸形數(shù)據(jù)結(jié)構(gòu)請(qǐng)求。如果黑客惡意構(gòu)造一個(gè)惡意畸形的數(shù)據(jù)報(bào)文發(fā)送給安裝有Windows Server 2008的服務(wù)器,那么就會(huì)觸發(fā)越界內(nèi)存引用行為,讓黑客可以執(zhí)行任意的惡意代碼(圖1)。
編注:SMB(Server MessageBlock,又稱(chēng)CommonInternetFileSystem)是由微軟開(kāi)發(fā)的一種軟件程序級(jí)的網(wǎng)絡(luò)傳輸協(xié)議,主要作用是使一個(gè)網(wǎng)絡(luò)上的機(jī)器共享計(jì)算機(jī)文件、打印機(jī)、串行端口和通訊等資源。它也提供認(rèn)證的進(jìn)程間通信機(jī)能。它主要用在裝有Microsoft Windows的機(jī)器上,這樣的機(jī)器被稱(chēng)為Microsoft Windows Network。SMBv2是SMB協(xié)議的最新升級(jí)版。
做一個(gè)形象的比喻,這就如同一座大橋的檢查站一樣,檢查人員只根據(jù)卡車(chē)上標(biāo)注的噸位來(lái)估算卡車(chē)能否通過(guò)這座橋,而事實(shí)上黑客可以讓一輛超載的卡車(chē)同樣標(biāo)注上合格的噸位通過(guò)檢查站。由于沒(méi)有做真正的稱(chēng)重,檢查人員只憑借標(biāo)注噸位來(lái)識(shí)別,最終導(dǎo)致超載的卡車(chē)危及大橋安全,導(dǎo)致橋毀車(chē)亡。
【編輯推薦】
