MS09-039:关于WINS安全公告的更多信息 [转译]

《本文转译自 Microsoft Security Research & Defense  博客文章 “ MS09-039: More information about the WINS security bulletin

今天早晨,我们发布了安全更新 MS09-039,解决了微软 Windows Internet 名称服务(WINS)中的漏洞问题。在这篇文章中,我们要帮助大家理解如下问题:

  • 这个漏洞的风险是什么?
  • 为什么定为 “严重等级”?
  • 为预防 “WINS 蠕虫”,微软做了什么?
  • 如何保护自己的环境?

这个漏洞的风险是什么?

远程匿名攻击者可以利用 CVE-2009-1923(MS09-039 修正的漏洞)强制 wins.exe under-allocate 一个缓冲区,然后向其中拷贝攻击者控制的数据。这会导致堆溢出,同时潜在的代码以 SYSTEM 账户运行。因此,在受影响的服务器上部署这个安全更新非常重要。

为什么定为严重等级?

上一个修正远程代码执行漏洞的 WINS 安全更新是 MS04-045,发布于 2004 年 12 月。MS04-045 修正的远程代码执行安全漏洞被定为 “重要等级”。使级别从最高的 “严重等级” 降低到 “重要等级” 的影响因素是 WINS 不是默认安装的。MS09-039 有同样的影响因素——WINS 仍然不是默认安装的。不过,最新的安全开发生命周期(SDL)bug bar 已经改变了为严重等级基础部件的必要组件定级的方式。影响企业网络严重组件的安全公告不再因为其默认没有安装而降级。我们知道企业网络会使用 WINS,所以即使有影响因素,也不会改变公告的级别。

为预防 “WINS 蠕虫”,微软做了什么?

这个漏洞在网络上非常容易被检测到。微软已经与 MAPP(Microsoft Active Protections Program,微软主动保护计划)合作伙伴共享了网络检测指导和漏洞触发样本。他们可以使用这些信息成功构建健壮的网络标记,来检测和阻止企图利用这个漏洞的攻击。如果不能马上在受影响的服务器上安装 WINS 安全更新,我们建议大家部署保护商提供的可用检测更新。

如何保护自己的环境?

任何针对安全更新 MS09-039 所述漏洞的潜在攻击都会到达 TCP 或 UDP 的 42 端口。在边界防火墙处阻挡这些端口,以阻止基于 Internet 的攻击。大多数企业网络需要在内部使用 WINS,合法的网络工作站需要解析内部名称,所以要允许它们的访问。

希望上述内容能够帮助大家评估针对 MS09-039 所述漏洞的潜在攻击的风险。

- Jonathan Ness, MSRC Engineering

*帖子内容是“按目前情况”,不作任何保证,且不赋予任何权利*