Windows系统SMB v2协议实现存在远程严重安全漏洞zbm中国安全组织-来自民间的技术团队China security organization

发布日期：2009-09-21zbm中国安全组织-来自民间的技术团队China security organization

CVE ID：CVE-2009-3103zbm中国安全组织-来自民间的技术团队China security organization

受影响的软件及系统：zbm中国安全组织-来自民间的技术团队China security organization
====================zbm中国安全组织-来自民间的技术团队China security organization
Windows Vistazbm中国安全组织-来自民间的技术团队China security organization
Windows Server 2008zbm中国安全组织-来自民间的技术团队China security organization

未受影响的软件及系统：zbm中国安全组织-来自民间的技术团队China security organization
======================zbm中国安全组织-来自民间的技术团队China security organization
Windows 2000zbm中国安全组织-来自民间的技术团队China security organization
Windows XPzbm中国安全组织-来自民间的技术团队China security organization
Windows 2003zbm中国安全组织-来自民间的技术团队China security organization
Windows 7zbm中国安全组织-来自民间的技术团队China security organization

综述：zbm中国安全组织-来自民间的技术团队China security organization
======zbm中国安全组织-来自民间的技术团队China security organization
Windows Vista和Windows Server 2008捆绑了新版的SMB v2协议实现，协议的实现在zbm中国安全组织-来自民间的技术团队China security organization
处理包含畸形数据的请求报文时存在漏洞，可能导致系统执行任意指令或发生蓝屏死zbm中国安全组织-来自民间的技术团队China security organization
机。尽管开始认为此漏洞很难被利用，但现在已经被证实存在可靠远程利用此漏洞的zbm中国安全组织-来自民间的技术团队China security organization
方法，相关验证代码已经公开，微软已经针对此漏洞发布了安全公告和临时解决方法。zbm中国安全组织-来自民间的技术团队China security organization

我们强烈建议使用Windows操作系统的用户立刻检查一下您的系统是否受此漏洞影zbm中国安全组织-来自民间的技术团队China security organization
响，参考我们提供的建议进行处理。zbm中国安全组织-来自民间的技术团队China security organization

分析：zbm中国安全组织-来自民间的技术团队China security organization
======zbm中国安全组织-来自民间的技术团队China security organization
实现SMB v2协议相关的SRV2.SYS驱动没有正确地处理包含畸形SMB头结构数据的zbm中国安全组织-来自民间的技术团队China security organization
NEGOTIATE PROTOCOL REQUEST请求，如果远程攻击者在发送的SMB报文的Process Idzbm中国安全组织-来自民间的技术团队China security organization
High头字段中包含有畸形数据的话，就会在_Smb2ValidateProviderCallback()函数zbm中国安全组织-来自民间的技术团队China security organization
中触发越界内存引用，导致以内核态执行任意指令或发生系统崩溃。zbm中国安全组织-来自民间的技术团队China security organization

从目前的分析来看，Windows Vista及Windows Server 2008存在此漏洞，已经证明利zbm中国安全组织-来自民间的技术团队China security organization
用此漏洞在系统上执行任意指令并完全控制Windows系统是可能的，漏洞的利用无需zbm中国安全组织-来自民间的技术团队China security organization
额外的认证过程，只要系统开放了通常的文件共享及打印服务并允许远端访问即受此zbm中国安全组织-来自民间的技术团队China security organization
漏洞影响。zbm中国安全组织-来自民间的技术团队China security organization

解决方法：zbm中国安全组织-来自民间的技术团队China security organization
==========zbm中国安全组织-来自民间的技术团队China security organization
* 禁用SMB v2，可以通过修改注册表实现：zbm中国安全组织-来自民间的技术团队China security organization

  将以下文本保存为.REG文件并双击导入：zbm中国安全组织-来自民间的技术团队China security organization

Windows Registry Editor Version 5.00zbm中国安全组织-来自民间的技术团队China security organization

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters]zbm中国安全组织-来自民间的技术团队China security organization
"smb2"=dword:00000000zbm中国安全组织-来自民间的技术团队China security organization

zbm中国安全组织-来自民间的技术团队China security organization
  smb2为0时禁用SMBv2，为1时启用SMBv2。zbm中国安全组织-来自民间的技术团队China security organization

  修改注册表完成以后重启系统的 Server 的服务。zbm中国安全组织-来自民间的技术团队China security organization

* 设置Windows系统自带的防火墙，禁止对139、445/TCP端口的入站连接。zbm中国安全组织-来自民间的技术团队China security organization

* 在Windows的服务管理器中禁用 Server 服务。zbm中国安全组织-来自民间的技术团队China security organization

厂商状态：zbm中国安全组织-来自民间的技术团队China security organization
==========zbm中国安全组织-来自民间的技术团队China security organization
目前微软正在开发相关补丁，微软已经提供了安全公告和临时解决方法：zbm中国安全组织-来自民间的技术团队China security organization
http://www.microsoft.com/technet/security/advisory/975497.mspxzbm中国安全组织-来自民间的技术团队China security organization

附加信息：zbm中国安全组织-来自民间的技术团队China security organization
==========zbm中国安全组织-来自民间的技术团队China security organization
1. http://www.microsoft.com/technet/security/advisory/975497.mspxzbm中国安全组织-来自民间的技术团队China security organization
2. http://marc.info/?l=bugtraq&m=125243829128443&w=2 zbm中国安全组织-来自民间的技术团队China security organization

zbm中国安全组织-来自民间的技术团队China security organizationzbm中国安全组织-来自民间的技术团队China security organization