Decrypt win2008の脆弱性

ブルースクリーンの脆弱性はサーバーオペレーティングシステムのWindows Server 2008を脅かします。つまり、Windows Server 2008のブルースクリーンがサービスの停止を招く場合、……現在、脆弱性の悪用コードは小さい範囲に限定されます。しかし、脆弱性攻撃ツールが開発され、今やブルースクリーン脆弱性の秘密の使用プロセスが皆のために明らかにされています。

問題：Windows Server 2008のブルースクリーンの脆弱性

危険：サーバーのブルースクリーンがサービスを停止した

危機：サーバーのブルースクリーンが隠された

私はAntiy Labです苗木は雨が降っています、そして私があなたに以下で言っているのはブルースクリーンの脆弱性です。ブルースクリーンの脆弱性の正式名称はSMB v2の脆弱性で、期限までパッチは適用されていません（10月の第2週にパッチが適用される予定です）。ブルースクリーンの脆弱性はどれくらいの規模の被害をもたらしますか？それは私たちの普通のネチズンに害を及ぼしますか？ブルースクリーンの脆弱性は主にWindows Server 2008サーバーの使用を脅かします。しかし今、ハッカーは実用的になってきており、Vistaの市場シェアには興味がないでしょう。

サーバーオペレーティングシステムとしてWindows Server 2008を使用するのは、メールサーバー、Webサーバー、データサーバー、ドメインネームサーバーなどです。サーバーが青色になると、多くのサーバーに専用のモニタがないため、しばらくの間サーバーのサービスが停止するため、管理者はおそらく初めてそのことを知りません。

Webサーバーが停止していると、サーバー上のすべてのWebサイトにアクセスできず、メールサーバーが停止しているとメールを転送できず、データサーバーが停止しているとデータがサポートされます。オンラインゲーム、オンラインバンキング、その他のシステムなどのシステムがクラッシュした場合、ドメインネームサーバーがサービスを停止した場合、壊れたネットワークゲートが再び使用される可能性があります。

2007年、マイクロソフトはWindows Server 2003に代わる次世代のサーバーオペレーティングシステムであるWindows Server 2008をリリースしました。このシステムは、64ビットテクノロジ、仮想化、および最適化された電源管理を備えたマルチコアプロセッサをサポートします。多くの企業ユーザーがサーバーのオペレーティングシステムをシステムに置き換えました。

市場調査会社Gartnerが提供したデータによると、2007年に世界規模で出荷されたサーバーでWindowsサーバーのシェアが66.8％に増加し、Windows Server 2008が主流を占めています。 2008年から2009年まで、Windows Server 2008はマイクロソフトの主力製品の1つとなり、そのシェアは拡大しています。上記のデータに基づくと、世界のサーバーの約5分の1がWindows Server 2008を使用しています。

原則：SMBのオーバーフロー

今回のブルースクリーンの脆弱性の理由は、SRV2.SYSという名前のドライバファイルが不正な形式のデータ構造要求を正しく処理できないことです。ハッカーが悪意を持って不正な形式のデータメッセージを作成し、それをWindows Server 2008がインストールされているサーバーに送信すると、境界外メモリ参照の動作が引き起こされ、ハッカーは任意の悪質なコードを実行できます（図1）。

注：SMB（Server Message Block、Common Internet File Systemとも呼ばれる）は、マイクロソフトが開発したソフトウェアプログラムレベルのネットワーク転送プロトコルであり、その主な機能はネットワーク上のコンピュータの共有です。コンピュータファイル、プリンタ、シリアルポート、通信などのリソース。認定されたプロセス間通信機能も提供します。これは主にMicrosoft Windowsを搭載したマシン上で使用され、Microsoft Windows Networkと呼ばれます。 SMB v2は、SMBプロトコルへの最新のアップグレードです。

イメージの比喩を作るために、これは橋のチェックポイントのようなものです｡検査官は、トラックにマークされたトン数に基づいてトラックが橋を通過できるかどうかを推定するだけです。トラックはまたチェックポイントを通して適格なトン数でマークされています。実際の計量はないので、検査官はトン数を使用することによってのみ識別し、それは結局トラックの過負荷を招き、橋の安全性を危険にさらし、橋の死を招くことになります。

シミュレーション：ブルースクリーンの脆弱性の測定

ステップ1：ブルースクリーンの脆弱性テスト手順を準備する（このプログラムはAntiy Labsによって特別に作られたものですが、有害すぎるためダウンロードできません）ネットワーク内のポートスキャナーを検索してダウンロードするこのテストでは、L-ScanPortポートスキャナーを選択しました。

ステップ2：L-ScanPortポートスキャナー（図2）を開き、IPアドレスフィールドにスキャンしたいネットワークセグメントを入力します。例えば、開始セグメントとして「192.168.1.1」、「192.168」と入力します。終了セグメントとして.255.255 - 次に、ソフトウェアインターフェースで「ポートリスト」を見つけ、「445」ポートを確認し、「実行」ボタンをクリックしてスキャンします。 445ポート開いているWindows Server 2008のがある場合は

、それはハッカーがブルースクリーンの攻撃を開始できることを意味します。テスト中に、Windows Server 2008を搭載したサーバーを準備し、SMB共有プロトコルを開始し、サーバーのIPアドレスをスキャンした後、攻撃テストを開始する準備が整いました。

ステップ3：攻撃者のコンピュータで、「コマンドプロンプト」を開き、テストプログラムをCドライブのルートディレクトリに配置してから、C：\\>ルートディレクトリに攻撃を入力します。コマンド：SMBv2.exe [攻撃を受けたサーバーのIPアドレス]（図3）。

攻撃を受けたテストサーバーにできるだけ早くアクセスしたところ、次のような状況が見られました（図4）。

予防：そのようなパッチ抗
はありません。

この脆弱性には現在のパッチではありませんので、我々は一時的な解決策を与えるのは、管理者が手動でファイアウォールのポート139およびポート445を閉じなければならないのでこの方法では、インターネットからの迷惑な着信トラフィックをすべてブロックできますが、プロトコルを停止すると、ユーザーはネットワーク内で共有されているドキュメントやプリンタを使用できなくなります。

詳細な分析

ほとんどのセキュリティ研究者は、この脆弱性がブルースクリーンの効果しか得られないとは考えていませんが、マイクロソフトの関係者はこれまで他の攻撃を行うことは不可能だと考えていました。リモートでコードが実行されるリスクの高い脆弱性が実装される可能性があります。セキュリティの研究者の中には、バックドアやトロイの木馬などのハッカーによって開発された悪意のあるコードを実行するためにこの新しい方法が使用され、最終的にサーバー全体を制御する目的を達成できることを発見した。

ハッカーがファイル共有サーバーを制御できるのであれば、ハッカーがWindows Server 2008サーバーに保存されている企業データを盗むのは簡単でしょう。現時点では、おそらく世界的なハッカーがこの脆弱性を必死に分析し、続いてサーバーワーム攻撃の嵐………を実行しています。 Br>

zh-CN"],null,[1],zh-TW"]]]