針對“Microsoft Windows 即插即用緩沖區溢出漏洞（MS05-039）”的攻擊代碼和蠕蟲已經出現

發布日期：2005-08-15


受影響的軟件及系統：
====================
Microsoft Windows 2000 SP4
Microsoft Windows XP SP2
Microsoft Windows XP SP1
Microsoft Windows Server 2003 SP1
Microsoft Windows Server 2003

綜述：
======
微軟安全公告MS05-039中提到的“Microsoft Windows 即插即用緩沖區溢出漏洞”，目前已經有攻擊代碼在網上流傳，并且已經出現針對該漏洞的蠕蟲。

鑒于該漏洞影響的廣泛性，我們強烈建議使用Windows 操作系統的用戶立刻檢查一下您的系統是否受此漏洞影響，并參考我們提供的解決方法予以解決。

分析：
======
ISS 發現了Microsoft Windows的即插即用(PNP)服務存在緩沖區溢出漏洞，遠程或者本地的入侵者成功利用這個漏洞可以完全控制受影響的系統。

Microsoft Windows PNP的主要功能是在安裝新硬件時能夠檢測到這些設備。PNP可以通過RPC接口遠程調用。

在Windows 2000上，可以遠程匿名進行這個RPC調用；在 Windows XP SP1上，需要以一個有效帳號登錄后才可以調用；在Windows XP SP2和Windows 2003上，只有管理員組用戶才能遠程調用，其它帳號只能本地調用。

所以，該漏洞對Windows 2000的威脅最大。其危險程度和MS03-026的RPC DCOM緩沖區漏洞是一樣的。

目前至少已經有一個IRC Bot 蠕蟲家族將該漏洞納入了自身的攻擊代碼中，根據殺毒軟件廠商的不同，可能命名為Zotob.A或者Net-Worm.Win32.Mytob.cd。該蠕蟲目前主要通過TCP/445端口攻擊Windows 2000。請盡快升級您的反病毒軟件來檢查您是否已經被此蠕蟲感染。

解決方法：
==========
臨時解決方法：

在邊界防火墻和單機防火墻上阻止 TCP 端口 139 和 445。

注意： 這并不能完全消除漏洞，只是增加一些攻擊難度。攻擊者也可能通過其他端口進行攻擊。

廠商狀態：
==========
廠商補丁：

Microsoft已經為此發布了一個安全公告（MS05-039）以及相應補丁:
http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx


補丁下載：

Microsoft Windows 2000 Service Pack 4：
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyId=E39A3D96-1C37-47D2-82EF-0AC89905C88F
    
Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2：
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyId=9A3BFBDD-62EA-4DB2-88D2-415E095E207F

Microsoft Windows XP Professional x64 Edition：
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyId=89D90E25-4773-4782-AD06-9B7517BAB3C8

Microsoft Windows Server 2003和Microsoft Windows Server 2003 Service Pack 1：
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyId=6275D7B7-DAB1-47C8-8745-533EB471072C

Microsoft Windows Server 2003 for Itanium-based Systems和Microsoft Windows Server 2003 with SP1 for Itanium-based Systems：
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyId=BE18D39D-3E4C-4C6F-B841-2CCD8D4C3F50

Microsoft Windows Server 2003 x64 Edition：
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyId=D976316D-3B17-4AD4-9198-513FFDAC98E4

附加信息：
==========
http://xforce.iss.net/xforce/alerts/id/202
http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx
http://www.us-cert.gov/cas/techalerts/TA05-221A.html
http://www.uaeogq.live/index.php?act=sec_bug&do=view&bug_id=7972
http://seclists.org/lists/fulldisclosure/2005/Aug/0382.html
http://www.f-secure.com/v-descs/zotob_a.shtml

聲 明
==========

本安全公告僅用來描述可能存在的安全問題，綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失，均由使用者本人負責，綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告，必須保證此安全公告的完整性，包括版權聲明等全部內容。未經綠盟科技允許，不得任意修改或者增減此安全公告內容，不得以任何方式將其用于商業目的。

關于綠盟科技
============

綠盟科技（NSFOCUS Co., Ltd.）是中國網絡安全領域的領導企業，致力于網絡和系統安全問題的研究、高端網絡安全產品的研發、銷售與網絡安全服務，在入侵檢測/保護、遠程評估、 DDoS攻擊防護等方面提供具有國際競爭能力的先進產品，是國內最具安全服務經驗的專業公司。有關綠盟科技的詳情請參見： http://www.nsfocus.com

© 2019 綠盟科技