怎樣應(yīng)對(duì)IDS八大高危事件

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

本文作者針對(duì)目前存在的比較嚴(yán)重的系統(tǒng)漏洞、異常攻擊等八大安全監(jiān)控高風(fēng)險(xiǎn)事件，提出了相應(yīng)的解決方案，以確保入侵檢測(cè)系統(tǒng)（IDS）更好地發(fā)揮作用。

1. Microsoft Windows Messenger服務(wù)遠(yuǎn)程堆溢出漏洞

Microsoft Windows XP、Windows NT、Windows ME、Windows 9X、Windows 2000、Windows 2003等幾乎所有的Windows操作系統(tǒng)都會(huì)受此漏洞影響。Windows Messenger服務(wù)用于服務(wù)器與客戶端之間互相發(fā)送一些短消息。Microsoft Windows Messenger服務(wù)存在堆溢出問(wèn)題，遠(yuǎn)程攻擊者可以利用這個(gè)漏洞以系統(tǒng)權(quán)限在目標(biāo)機(jī)器上執(zhí)行任意指令。問(wèn)題存在于Messenger服務(wù)程序的search-by-name函數(shù)中，攻擊者提交特定序列的字符串給這個(gè)函數(shù)可造成堆溢出，精心構(gòu)建提交數(shù)據(jù)可能以系統(tǒng)權(quán)限在目標(biāo)機(jī)器上執(zhí)行任意指令。消息通過(guò)NetBIOS或者RPC提交給消息服務(wù)，因此可以通過(guò)封閉NETBIOS端口(137-139)和使用防火墻過(guò)濾UDP廣播包來(lái)阻擋此類消息。

建議

臨時(shí)解決方法：如果不能立刻安裝補(bǔ)丁或者升級(jí)，建議采取以下措施以降低威脅：

● 在邊界防火墻或者個(gè)人防火墻上禁止不可信主機(jī)訪問(wèn)NETBIOS和RPC端口135、137、139(TCP/UDP);

● 禁用Messenger服務(wù)。打開“開始”，(或打開“設(shè)置”)點(diǎn)擊“控制面板”，然后雙擊“管理工具”，雙擊“服務(wù)”，找到并雙擊“Messenger”, 在“啟動(dòng)類型”的下拉框中選擇“已禁用”，然后點(diǎn)擊“停止”，然后點(diǎn)擊“確定”。

永久解決辦法：打系統(tǒng)安全公告MS03-043相應(yīng)的補(bǔ)丁。

2. Windows Exchange Server遠(yuǎn)程緩沖區(qū)溢出漏洞

Windows 2000、Windows XP、Windows NT會(huì)受此漏洞影響。Microsoft Exchange Server是一款Microsoft公司開發(fā)的郵件服務(wù)程序。Exchange Server 2.5和2000對(duì)惡意verb請(qǐng)求缺少充分處理，遠(yuǎn)程攻擊者可以利用這個(gè)漏洞以Exchange Server進(jìn)程權(quán)限在系統(tǒng)上執(zhí)行任意指令。Exchange Server 5.5中在Internet郵件服務(wù)中存在一個(gè)安全問(wèn)題，允許未驗(yàn)證用戶連接Exchange Server的SMTP端口，發(fā)送特殊構(gòu)建的擴(kuò)展verb請(qǐng)求，導(dǎo)致分配一個(gè)超大內(nèi)存，這可能使Internet郵件服務(wù)關(guān)閉或者使服務(wù)停止響應(yīng)。在Exchange 2000 Server中同樣存在這個(gè)問(wèn)題，這種請(qǐng)求可引起類似Exchange Server 5.5的拒絕服務(wù)。另外如果攻擊者精心構(gòu)建提交數(shù)據(jù)，可能以Exchange Server進(jìn)程權(quán)限在系統(tǒng)上執(zhí)行任意指令。

建議

臨時(shí)解決方法：

● 用SMTP協(xié)議檢測(cè)過(guò)濾SMTP協(xié)議擴(kuò)展；

● 使用防火墻限制SMTP的使用；

● 只接收驗(yàn)證過(guò)的SMTP會(huì)話，通過(guò)使用SMTP AUTH命令限制只接收驗(yàn)證過(guò)的會(huì)話。

永久解決辦法：打系統(tǒng)補(bǔ)丁。

3. Microsoft MSN Messenger遠(yuǎn)程信息泄露漏洞

Microsoft MSN Messenger Service會(huì)受此漏洞影響。 MSN Messenger在處理文件請(qǐng)求時(shí)存在安全問(wèn)題，遠(yuǎn)程攻擊者可以利用這個(gè)漏洞獲得系統(tǒng)中文件內(nèi)容。攻擊者可以發(fā)送特殊構(gòu)建的文件請(qǐng)求連接運(yùn)行MSN Messenger的用戶來(lái)觸發(fā)此漏洞，成功利用此漏洞，攻擊者可以在沒(méi)有用戶知曉下查看硬盤上文件內(nèi)容。不過(guò)攻擊者必須知道文件在系統(tǒng)上的位置。

建議

臨時(shí)解決方法：建議采取使用防火墻過(guò)濾7007和7008端口以降低威脅。

永久解決辦法：打系統(tǒng)安全公告MS04-010相應(yīng)的補(bǔ)丁。

4. Windows Help和Support Center遠(yuǎn)程緩沖區(qū)溢出漏洞

Windows XP、Windows 2000、Windows 2003、Windows NT會(huì)受此漏洞影響。

建議

臨時(shí)解決方法：取消HCP協(xié)議的注冊(cè)，刪除HKEY_CLASSES_ROOTHCP注冊(cè)表鍵值可取消HCP協(xié)議的注冊(cè)。

永久解決辦法：打微軟MS03-044公告相應(yīng)的補(bǔ)丁。

5. Netscreen遠(yuǎn)程拒絕服務(wù)攻擊漏洞

NetScreen ScreenOS會(huì)受此漏洞影響。Netscreen是一款處理防火墻安全解決方案，實(shí)現(xiàn)線速數(shù)據(jù)包處理能力。Netscreen存在SSH1 CRC32相關(guān)問(wèn)題，遠(yuǎn)程攻擊者可以利用這個(gè)漏洞進(jìn)行拒絕服務(wù)攻擊。默認(rèn)Netscreen不啟用SSH，Netscreen也不鼓勵(lì)客戶使用SSH服務(wù)，但是在GUI中可以設(shè)置使用SSH服務(wù)，不過(guò)這個(gè)服務(wù)只開啟在可信接口中，除非增加規(guī)則轉(zhuǎn)發(fā)信息到其他接口/端口中。如果Netscreen開啟了這個(gè)SSH服務(wù)，就存在拒絕服務(wù)攻擊條件。較新版本的ssh1守護(hù)程序中所帶的一段代碼中存在一個(gè)整數(shù)溢出問(wèn)題。問(wèn)題出在deattack.c，由于在detect_attack()函數(shù)中錯(cuò)誤地將一個(gè)16位的無(wú)符號(hào)變量當(dāng)成了32位變量來(lái)使用，導(dǎo)致表索引溢出問(wèn)題。這將允許一個(gè)攻擊者覆蓋內(nèi)存中的任意位置的內(nèi)容，攻擊者可能遠(yuǎn)程獲取root權(quán)限。利用任何相關(guān)CRC32漏洞的攻擊代碼，都可以導(dǎo)致設(shè)備崩潰，需要重新啟動(dòng)才能恢復(fù)正常功能。但是Netscreen響應(yīng)認(rèn)為這個(gè)拒絕服務(wù)不是由于CRC32漏洞問(wèn)題引起的，不過(guò)CRC32漏洞的攻擊代碼可以導(dǎo)致拒絕服務(wù)。

建議

臨時(shí)解決方法：建議暫時(shí)不使用SSH服務(wù)以降低威脅。

永久解決辦法：隨時(shí)關(guān)注軟件商主頁(yè)以獲取最新版本。

6. Microsoft Windows NtSystemDebugControl()內(nèi)核API函數(shù)權(quán)限提升漏洞

Microsoft Windows XP SP1和Windows 2003會(huì)受此漏洞影響。Microsoft Windows操作系統(tǒng)內(nèi)核API函數(shù)存在安全問(wèn)題，本地攻擊者可以利用這個(gè)漏洞提升權(quán)限。ZwSystemDebugControl()從ntdll.dll導(dǎo)出，調(diào)用Windows操作系統(tǒng)函數(shù)NtSystemDebugControl()，這個(gè)函數(shù)在ring 0模式下執(zhí)行，擁有SeDebugPrivilege權(quán)限的調(diào)試者可以利用這個(gè)函數(shù)獲得權(quán)限提升。

建議

臨時(shí)解決方法：建議在所有用戶/組中去掉調(diào)試權(quán)限以降低威脅。

永久解決辦法：隨時(shí)關(guān)注廠商的主頁(yè)以獲取最新版本。

7. Microsoft IIS HTTP頭部處理緩沖區(qū)溢出漏洞

Windows 2000、Windows XP、Windows NT4.0、IIS4.0/5.0會(huì)受此漏洞影響。IIS（Internet Information Server）是Microsoft Windows系統(tǒng)默認(rèn)自帶的Web服務(wù)器軟件。 IIS 4.0/5.0/5.1在處理HTTP頭部信息的代碼中存在遠(yuǎn)程緩沖區(qū)溢出漏洞，遠(yuǎn)程攻擊者可以利用此漏洞遠(yuǎn)程執(zhí)行命令或造成拒絕服務(wù)。IIS在收到一個(gè)HTTP請(qǐng)求時(shí)，會(huì)先對(duì)其進(jìn)行分析，它根據(jù)分隔符來(lái)區(qū)分不同的區(qū)域，并將不同域的內(nèi)容保存到適當(dāng)大小的緩沖區(qū)中。為確保應(yīng)有的分隔域存在且處于合理的位置，IIS會(huì)在解析HTTP報(bào)頭的域之間進(jìn)行一個(gè)安全檢查。但是利用這一漏洞，攻擊者有可能欺騙這一檢查，使IIS誤以為分隔域確實(shí)存在，IIS可能會(huì)將一個(gè)超過(guò)IIS預(yù)期長(zhǎng)度的HTTP頭部域數(shù)據(jù)保存到一個(gè)緩沖區(qū)中，從而造成緩沖區(qū)溢出。要利用這個(gè)漏洞，目標(biāo)IIS服務(wù)器必須允許使用ASP ISAPI。如果攻擊者使用隨機(jī)數(shù)據(jù)，可能使IIS服務(wù)崩潰（IIS 5.0/5.1會(huì)自動(dòng)重啟）。如果精心構(gòu)造發(fā)送的數(shù)據(jù)，也可能允許攻擊者執(zhí)行任意代碼。成功地利用這個(gè)漏洞，對(duì)于IIS 4.0，遠(yuǎn)程攻擊者可以獲取SYSTEM權(quán)限，對(duì)于IIS 5.0/5.1攻擊者可以獲取IWAM_computername用戶的權(quán)限。

建議

臨時(shí)解決方法：

● 如果不需要使用ASP腳本，應(yīng)該立刻刪除“.asp”的腳本映射：打開Internet 服務(wù)管理器，右擊服務(wù)器，在菜單中選擇“屬性”欄，選擇“主屬性”，選擇 WWW 服務(wù)→編輯→主目錄→配置，在擴(kuò)展名列表中刪除“.asp”項(xiàng)，保存設(shè)置,然后重啟IIS服務(wù)。

● 可以使用微軟提供的一個(gè)安全工具URLScan來(lái)限制攻擊者利用這個(gè)漏洞遠(yuǎn)程執(zhí)行命令。URLScan缺省不允許URL中包含非ASCII字符，因此可以有效地增大攻擊者攻擊的難度。但這不能防止攻擊者進(jìn)行拒絕服務(wù)攻擊。

永久解決辦法：安裝微軟安全公告MS02-018相應(yīng)的補(bǔ)丁。

8. Windows媒體播放器外殼下載代碼執(zhí)行漏洞

Microsoft Windows Media Player 7.1、Windows Media Player XP、Windows XP、Windows NT、Windows 98、Windows ME等系統(tǒng)都會(huì)受此漏洞影響。

Windows媒體播放器在處理下載外殼文件時(shí)存在問(wèn)題，遠(yuǎn)程攻擊者可以利用這個(gè)漏洞利用惡意頁(yè)面上傳任意文件到目標(biāo)系統(tǒng)中任意位置。當(dāng)Internet Explorer遇到MIME類型為“application/x-ms-wmz”的文檔時(shí)，就會(huì)以“/layout”命令行選項(xiàng)啟動(dòng)wmplayer.exe來(lái)指示媒體播放器從指定的URL下載外殼文件到Media Player的外殼文件目錄中。為防止部分基于Internet的攻擊，程序在下載路徑中使用隨機(jī)元素，這樣可使下載的外殼文件名不會(huì)被攻擊者猜測(cè)出來(lái)。

Media Player存在一個(gè)缺陷，上面描述的功能可在URL中使用HEX編碼的反斜線符號(hào)來(lái)繞過(guò)，如果可指定惡意URL并誘使用戶訪問(wèn)，下載的文件夾就可以被選擇。如果文件名不是以“.WMZ”結(jié)尾，Media Player一般會(huì)在文件后增加這個(gè)擴(kuò)展名，但是如果以特殊方法使用Content-disposition HTTP頭字段，這個(gè)限制就可以繞過(guò)并且可以隨意選擇擴(kuò)展名，因此攻擊者結(jié)尾這兩個(gè)問(wèn)題就可以把任意文件存放在目標(biāo)用戶任意地方。攻擊者可以利用惡意頁(yè)面或惡意HTML形式EMAIL來(lái)誘使用戶訪問(wèn)，下載外殼文件，觸發(fā)漏洞。

建議

臨時(shí)解決方法：Outlook Express 6.0和Outlook 2002默認(rèn)設(shè)置是在限制區(qū)域中打開HTML郵件，使用Outlook 98和2000的用戶需要通過(guò)Outlook E-mail安全升級(jí)來(lái)修正此漏洞。永久解決辦法：安裝微軟安全公告MS03-017相應(yīng)的補(bǔ)丁。(ccw)