Windows 9x / NT 4.0 / 2000 NetBIOS Cache破坏漏洞发布时间:2000-04-18 更新时间:2000-04-18 严重程度:高 威胁程度:欺骗 错误类型:设计错误 利用方式:服务器模式 受影响系统 Microsoft Windows 98详细描述 Microsoft Windows中的NetBIOS缓存允许远程攻击者通过发送未经请求的主动单放或广播 UDP 数据包来插入或冲掉动态缓存和静态缓存的记录。通过局域网或因特网的远程攻击者可以使NetBIOS名字到IP地址的解析重定向并且转发到任意的IP地址。 微软设计的CIFS浏览协议定义在NetBIOS数据包内包含一些浏览帧。CIFS浏览协议用来生成网络资源的列表,该协议被用在“网上邻居”和“我的网络”等服务中。NetBIOS数据包信息包含源NetBIOS名和源IP地址。当从UDP 138端口接受到浏览帧请求时从NetBIOS数据包提取信息并且添加到NetBIOS缓存中。 刷新NetBIOS缓存中的动态记录可能的方法就是用户提交一个不同的IP地址到NetBIOS名字映射。NetBIOS名字确定过程利用了一个很容易预测的16 bit的ID。 测试代码 尚无 解决方案 微软将不对此漏洞提供补丁,COVERT实验室提供了如下解决方案: 1)最有效的解决办法是升级到Windows 2000并将TCP/IP上的NetBIOS禁用。 2)关闭UDP 和 TCP的135-139及445端口,以防止外部攻击者对网络的攻击。 3)因为NetBIOS名字解析(不管是通过广播还是WINS)受到该破坏缓存攻击的影响,因此它不能依靠主机名到IP地址的解析。 4)停用"WINS Client"捆绑包括NetBIOS接口,服务器和工作站服务。通过nbtstat –n命令禁止所有注册了NetBIOS名字的服务。有选择性的解开NetBIOS接口捆绑或打开一些特定的服务。但这些服务仍然允许攻击者破坏NetBIOS缓存。 5)另外一个需要注意的重要方面是确保计算机浏览服务不依赖于浏览帧的处理和生成(在漏洞影响范围内)。禁止计算机浏览服务对本漏洞没有影响。 相关信息 |
