关于微软Windows Vista 等系统存在畸形SMB 报文远程拒绝服务漏洞的情况通报
Windows Vista和Windows Server 2008等操作系统中服务器消息块(SMB)2.0驱动程序存在严重”零日”安全漏洞。
尊敬的中国科技网用户:
您好!
我们收到中国互联网应急中心(CNCERT/CC)发来的《关于微软WINDOWS VISTA等系统存在畸形SMB报文远程拒绝服务漏洞的情况通报》,现将相关内容转发给您,请注意做好有关防范工作。
感谢您对我们工作的支持!
祝:工作顺利!
致 礼!
cert
2009-09-14
中国互联网络信息中心、中国科技网、中国教育和科研计算机网、中国国际电子商务中心(经贸网)、中国长城互联网(排名不分先后):(排名不分先后):
近日,CNCERT接到安天公司报告,称微软WINDOWS VISTA等系统存在畸形SMB报文远程拒绝服务漏洞,请相关部门注意加强对漏洞的修补和防范工作。具体情况见附件。
附件:互联网网络安全信息通报增刊第13期(总第十九期)扫描件。
国家计算机网络应急技术处理协调中心
二○○九年九月十一日
安全漏洞:CN-VA09-88
发布日期:2009年9月10日
漏洞类型:拒绝服务
漏洞评估:严重
受影响的软件:
Windows Vista、Windows Server 2008 和Windows 7 RC
不受影响的软件:
Windows 7 RTM、 Windows Server 2008 R2、 Windows XP 和 Windows 2000
漏洞描述:
SRV2.SYS驱动在实现NEGOTIATE PROTOCOL REQUEST功能时没有正确处理发来的畸形SMB头字段数据,若远程攻击者在发送的SMB报文的”Process Id High”头字段中包含有”&”字符,则会导致系统蓝屏宕机,从而造成拒绝服务攻击。该漏洞利用简单,漏洞信息和攻击代码已公开,微软公司尚未发布针对该漏洞的补丁程序。
在目前厂商暂未提供补丁或者升级程序的情况下,CNCERT推荐广大用户关闭445端口,直至官方提供相应的补丁。注意:如果用户选择关闭445端口,可能造成用户局域网内无法进行文件共享传输,请谨慎操作。如发现有关攻击活动请及时与我中心联系。
操作方法如下:
通过添加注册表项关闭445端口,添加后必须重启计算机:
[HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNetBTParameters]
新建注册表项:SMBDeviceEnabled
类型: REG_DWORD
值: 0
新浪微博
开心网
人人网
白社会
豆瓣
QQ空间
QQ书签
Google书签
百度搜藏
有道书签
雅虎收藏
MSN收藏
新浪VIVI
豆瓣九点
鲜果
奇客发现
POCO
Myspace
发送邮件