受影響系統(tǒng):
Microsoft Systems Management Server 2.0
- Microsoft Windows NT 4.0
- Microsoft BackOffice 4.5
- Microsoft Windows NT 4.0
Microsoft Systems Management Server 1.2
- Microsoft Windows NT 4.0
- Microsoft BackOffice 4.0
- Microsoft Windows NT 4.0
Microsoft Windows NT 4.0
Microsoft Windows NT 3.5.1
Microsoft Windows NT 3.5
Microsoft Windows NT Terminal Server
+ Microsoft Windows NT 4.0
Microsoft Windows NT 2000
描述:
隨Windows NT/2000一起發(fā)行的網(wǎng)絡(luò)監(jiān)視器工具允許管理員捕獲和分析到本機(jī)的數(shù)據(jù)流以及局域網(wǎng)中的所有數(shù)據(jù)流����。Netmon被設(shè)計(jì)成在數(shù)據(jù)流可以用圖形界面察看之前捕獲它們�����,它分析接收自網(wǎng)絡(luò)的信息��,然后在用戶界面中將其轉(zhuǎn)換成可讀的格式����。
Netmon中不同的DLL庫分析不同的應(yīng)用協(xié)議。這些庫中一個名為“browser.dll”的DLL存在漏洞��。通過利用這些存在漏洞的DLL中的函數(shù)調(diào)用的多處堆棧溢出���,遠(yuǎn)程攻擊者可以控制網(wǎng)絡(luò)監(jiān)視器���,執(zhí)行任意代碼并控制受害主機(jī)。
<* 來源: COVERT Labs (http://www.pgp.com/)
ISS X-force (http://xforce.iss.net) *>
測試方法:
警 告
以下程序(方法)可能帶有攻擊性�����,僅供安全研究與教學(xué)之用。使用者風(fēng)險(xiǎn)自負(fù)!
1��、如果發(fā)送一個CIFS瀏覽幀到138號UDP端口�,browser.dll中的函數(shù)FormatBrowserSummary( )將被調(diào)用�����。一種名為“Become Backup”的特定的CIFS瀏覽幀包含有要顯示的瀏覽服務(wù)器的名字���。該信息從UDP數(shù)據(jù)報(bào)中提取���,以便將其包含在單行的總結(jié)中。
瀏覽服務(wù)器名字被傳遞給Win32 API函數(shù)OemToChar( )���,該函數(shù)將字符串從OEM定義的字符集轉(zhuǎn)換成ANSI字符集或者寬字符集�����。當(dāng)OemToChar( )遇到一個空字符時將停止轉(zhuǎn)換��。browser.dll中存在漏洞的FormatBrowserSummary( )函數(shù)調(diào)用OemToChar( )將服務(wù)器名字轉(zhuǎn)換后存放在堆棧中長度為255字節(jié)的緩沖區(qū)中�����。OemToChar( )沒有提供邊界檢查�����,堆?�?梢员蝗我庵蹈采w���。
2��、如果161號UDP端口收到一個SNMP請求�,snmp.dll將被調(diào)用���。SNMP請求中的community串是從數(shù)據(jù)報(bào)中提取的���,以便用在與協(xié)議有關(guān)的總結(jié)中。SNMP community串被browser.dll用Win32函數(shù)wsprintfA( )拷貝到堆棧中的一個緩沖區(qū)中�����。由于該函數(shù)未提供足夠的邊界檢查���,堆?����?杀桓采w��。
3�、如果從139號TCP端口接收到一個SMB會話�,smb.dll將被調(diào)用。這個分析器包含兩個漏洞���。如果網(wǎng)絡(luò)監(jiān)視器接收到一個SMB會話�,而該會話中有用于C類事務(wù)的很長的用戶名或文件名�����,它將按照類似如上所描述的SNMP分析器中的漏洞那樣�����,通過未經(jīng)邊界檢查的wsprintfA( )調(diào)用覆蓋其堆棧�。
可以通過兩種方法來控制這些漏洞中的指令指針,一種是通過覆蓋返回地址從而使存在漏洞的函數(shù)返回到指定的地址��,另外一種方法是通過覆蓋結(jié)構(gòu)化異常處理回調(diào)指針來導(dǎo)致一個無效的內(nèi)存引用�。
建議:
微軟已經(jīng)提供如下補(bǔ)丁:
Microsoft Systems Management Server 2.0:
Microsoft patch Q273476c
http://download.microsoft.com/download/sms20/Patch/q273476/NT4/ENUS/Q273476c.EXE
Microsoft Systems Management Server 1.2:
Microsoft patch Q273476c (SMS 1.2)
http://download.microsoft.com/download/sms12/Patch/q273476/NT4/ENUS/Q273476c.EXE
Microsoft Windows NT 4.0:
Microsoft patch Q274835i
http://download.microsoft.com/download/winntsp/Patch/Q274835/NT4/ENUS/Q274835i.EXE
Intel
Microsoft Windows NT 2000:
Microsoft patch Q274835_W2K_SP2_x86_en
http://download.microsoft.com/download/win2000platform/Patch/Q274835/NT5/ENUS/Q274835_W2K_SP2_x86_en.EXE
原文出自【比特網(wǎng)】,轉(zhuǎn)載請保留原文鏈接:http://sec.chinabyte.com/18/11208518.shtml
