怎样应对IDS八大高危事件

申请免费试用、咨询电话：400-8352-114

本文作者针对目前存在的比较严重的系统漏洞、异常攻击等八大安全监控高风险事件，提出了相应的解决方案，以确保入侵检测系统（IDS）更好地发挥作用。

1. Microsoft Windows Messenger服务远程堆溢出漏洞

Microsoft Windows XP、Windows NT、Windows ME、Windows 9X、Windows 2000、Windows 2003等几乎所有的Windows操作系统都会受此漏洞影响。Windows Messenger服务用于服务器与客户端之间互相发送一些短消息。Microsoft Windows Messenger服务存在堆溢出问题，远程攻击者可以利用这个漏洞以系统权限在目标机器上执行任意指令。问题存在于Messenger服务程序的search-by-name函数中，攻击者提交特定序列的字符串给这个函数可造成堆溢出，精心构建提交数据可能以系统权限在目标机器上执行任意指令。消息通过NetBIOS或者RPC提交给消息服务，因此可以通过封闭NETBIOS端口(137-139)和使用防火墙过滤UDP广播包来阻挡此类消息。

建议

临时解决方法：如果不能立刻安装补丁或者升级，建议采取以下措施以降低威胁：

● 在边界防火墙或者个人防火墙上禁止不可信主机访问NETBIOS和RPC端口135、137、139(TCP/UDP);

● 禁用Messenger服务。打开“开始”，(或打开“设置”)点击“控制面板”，然后双击“管理工具”，双击“服务”，找到并双击“Messenger”, 在“启动类型”的下拉框中选择“已禁用”，然后点击“停止”，然后点击“确定”。

永久解决办法：打系统安全公告MS03-043相应的补丁。

2. Windows Exchange Server远程缓冲区溢出漏洞

Windows 2000、Windows XP、Windows NT会受此漏洞影响。Microsoft Exchange Server是一款Microsoft公司开发的邮件服务程序。Exchange Server 2.5和2000对恶意verb请求缺少充分处理，远程攻击者可以利用这个漏洞以Exchange Server进程权限在系统上执行任意指令。Exchange Server 5.5中在Internet邮件服务中存在一个安全问题，允许未验证用户连接Exchange Server的SMTP端口，发送特殊构建的扩展verb请求，导致分配一个超大内存，这可能使Internet邮件服务关闭或者使服务停止响应。在Exchange 2000 Server中同样存在这个问题，这种请求可引起类似Exchange Server 5.5的拒绝服务。另外如果攻击者精心构建提交数据，可能以Exchange Server进程权限在系统上执行任意指令。

建议

临时解决方法：

● 用SMTP协议检测过滤SMTP协议扩展；

● 使用防火墙限制SMTP的使用；

● 只接收验证过的SMTP会话，通过使用SMTP AUTH命令限制只接收验证过的会话。

永久解决办法：打系统补丁。

3. Microsoft MSN Messenger远程信息泄露漏洞

Microsoft MSN Messenger Service会受此漏洞影响。 MSN Messenger在处理文件请求时存在安全问题，远程攻击者可以利用这个漏洞获得系统中文件内容。攻击者可以发送特殊构建的文件请求连接运行MSN Messenger的用户来触发此漏洞，成功利用此漏洞，攻击者可以在没有用户知晓下查看硬盘上文件内容。不过攻击者必须知道文件在系统上的位置。

建议

临时解决方法：建议采取使用防火墙过滤7007和7008端口以降低威胁。

永久解决办法：打系统安全公告MS04-010相应的补丁。

4. Windows Help和Support Center远程缓冲区溢出漏洞

Windows XP、Windows 2000、Windows 2003、Windows NT会受此漏洞影响。

建议

临时解决方法：取消HCP协议的注册，删除HKEY_CLASSES_ROOTHCP注册表键值可取消HCP协议的注册。

永久解决办法：打微软MS03-044公告相应的补丁。

5. Netscreen远程拒绝服务攻击漏洞

NetScreen ScreenOS会受此漏洞影响。Netscreen是一款处理防火墙安全解决方案，实现线速数据包处理能力。Netscreen存在SSH1 CRC32相关问题，远程攻击者可以利用这个漏洞进行拒绝服务攻击。默认Netscreen不启用SSH，Netscreen也不鼓励客户使用SSH服务，但是在GUI中可以设置使用SSH服务，不过这个服务只开启在可信接口中，除非增加规则转发信息到其他接口/端口中。如果Netscreen开启了这个SSH服务，就存在拒绝服务攻击条件。较新版本的ssh1守护程序中所带的一段代码中存在一个整数溢出问题。问题出在deattack.c，由于在detect_attack()函数中错误地将一个16位的无符号变量当成了32位变量来使用，导致表索引溢出问题。这将允许一个攻击者覆盖内存中的任意位置的内容，攻击者可能远程获取root权限。利用任何相关CRC32漏洞的攻击代码，都可以导致设备崩溃，需要重新启动才能恢复正常功能。但是Netscreen响应认为这个拒绝服务不是由于CRC32漏洞问题引起的，不过CRC32漏洞的攻击代码可以导致拒绝服务。

建议

临时解决方法：建议暂时不使用SSH服务以降低威胁。

永久解决办法：随时关注软件商主页以获取最新版本。

6. Microsoft Windows NtSystemDebugControl()内核API函数权限提升漏洞

Microsoft Windows XP SP1和Windows 2003会受此漏洞影响。Microsoft Windows操作系统内核API函数存在安全问题，本地攻击者可以利用这个漏洞提升权限。ZwSystemDebugControl()从ntdll.dll导出，调用Windows操作系统函数NtSystemDebugControl()，这个函数在ring 0模式下执行，拥有SeDebugPrivilege权限的调试者可以利用这个函数获得权限提升。

建议

临时解决方法：建议在所有用户/组中去掉调试权限以降低威胁。

永久解决办法：随时关注厂商的主页以获取最新版本。

7. Microsoft IIS HTTP头部处理缓冲区溢出漏洞

Windows 2000、Windows XP、Windows NT4.0、IIS4.0/5.0会受此漏洞影响。IIS（Internet Information Server）是Microsoft Windows系统默认自带的Web服务器软件。 IIS 4.0/5.0/5.1在处理HTTP头部信息的代码中存在远程缓冲区溢出漏洞，远程攻击者可以利用此漏洞远程执行命令或造成拒绝服务。IIS在收到一个HTTP请求时，会先对其进行分析，它根据分隔符来区分不同的区域，并将不同域的内容保存到适当大小的缓冲区中。为确保应有的分隔域存在且处于合理的位置，IIS会在解析HTTP报头的域之间进行一个安全检查。但是利用这一漏洞，攻击者有可能欺骗这一检查，使IIS误以为分隔域确实存在，IIS可能会将一个超过IIS预期长度的HTTP头部域数据保存到一个缓冲区中，从而造成缓冲区溢出。要利用这个漏洞，目标IIS服务器必须允许使用ASP ISAPI。如果攻击者使用随机数据，可能使IIS服务崩溃（IIS 5.0/5.1会自动重启）。如果精心构造发送的数据，也可能允许攻击者执行任意代码。成功地利用这个漏洞，对于IIS 4.0，远程攻击者可以获取SYSTEM权限，对于IIS 5.0/5.1攻击者可以获取IWAM_computername用户的权限。

建议

临时解决方法：

● 如果不需要使用ASP脚本，应该立刻删除“.asp”的脚本映射：打开Internet 服务管理器，右击服务器，在菜单中选择“属性”栏，选择“主属性”，选择 WWW 服务→编辑→主目录→配置，在扩展名列表中删除“.asp”项，保存设置,然后重启IIS服务。

● 可以使用微软提供的一个安全工具URLScan来限制攻击者利用这个漏洞远程执行命令。URLScan缺省不允许URL中包含非ASCII字符，因此可以有效地增大攻击者攻击的难度。但这不能防止攻击者进行拒绝服务攻击。

永久解决办法：安装微软安全公告MS02-018相应的补丁。

8. Windows媒体播放器外壳下载代码执行漏洞

Microsoft Windows Media Player 7.1、Windows Media Player XP、Windows XP、Windows NT、Windows 98、Windows ME等系统都会受此漏洞影响。

Windows媒体播放器在处理下载外壳文件时存在问题，远程攻击者可以利用这个漏洞利用恶意页面上传任意文件到目标系统中任意位置。当Internet Explorer遇到MIME类型为“application/x-ms-wmz”的文档时，就会以“/layout”命令行选项启动wmplayer.exe来指示媒体播放器从指定的URL下载外壳文件到Media Player的外壳文件目录中。为防止部分基于Internet的攻击，程序在下载路径中使用随机元素，这样可使下载的外壳文件名不会被攻击者猜测出来。

Media Player存在一个缺陷，上面描述的功能可在URL中使用HEX编码的反斜线符号来绕过，如果可指定恶意URL并诱使用户访问，下载的文件夹就可以被选择。如果文件名不是以“.WMZ”结尾，Media Player一般会在文件后增加这个扩展名，但是如果以特殊方法使用Content-disposition HTTP头字段，这个限制就可以绕过并且可以随意选择扩展名，因此攻击者结尾这两个问题就可以把任意文件存放在目标用户任意地方。攻击者可以利用恶意页面或恶意HTML形式EMAIL来诱使用户访问，下载外壳文件，触发漏洞。

建议

临时解决方法：Outlook Express 6.0和Outlook 2002默认设置是在限制区域中打开HTML邮件，使用Outlook 98和2000的用户需要通过Outlook E-mail安全升级来修正此漏洞。永久解决办法：安装微软安全公告MS03-017相应的补丁。(ccw)