病毒预警:"隐蔽杀手"可能5.1发作破坏互联网

whwhq

2004年04月29日15:21:58　金山毒霸安全资讯网　
　　据金山毒霸反病毒中心最新消息，针对SLL服务漏洞的蠕虫，可能在未来7天内出现。”虽然目前尚不足以判定该体制的蠕虫会对网络构成重大影响，但由于众所周知的SSL服务的敏感性，以及其可能带来的相应的数据安全性威胁，我们将该警告制定为A级。

　　在微软公告中，并没有对该漏洞进行细节描述，从目前的分析看：微软证书服务中使用的PCT协议是Microsoft SSL库的实现, 该协议在处理客户端请求的时候存在一个远程缓冲区溢出漏洞。ct1SrvHandleUniHello函数在处理参数的第3个参数的时候，导致可造成覆盖溢出。

　　毒霸反病毒工种师分析：攻击者发送一段精心构造的数据，就可以获得目标系统的全部权限，包括在目标系统上执行程序、安装和卸载软件包。目前已经有公开的exploit代码，该测试代码有比较高的溢出成功率，很容易被别有用心者修改成蠕虫传播。

　　由于SSL服务并非常用服务，如果蠕虫只依赖本服务传播预测为使用大量线程扫描的快速扫描蠕虫，因此可能影响到感染节点所在网络的出口设备和出口带宽。其他扫描性蠕虫可能会扩展相应模块以使用该漏洞。


　　提醒注意：

　　该漏洞影响系统443和636端口：

　　关于443：这是微软的https协议使用的端口，这个端口提供了证书级别的加密http传输服务，可以保证传输过程中的数据安全，在验证方式调用中使用Microsoft SSL库。

　　关于636：636端口是LDAP所使用的端口。微软在Win2000系统中提供了LDAP（轻量级目录访问协议）支持，LDAP中提供三种认证机制，即匿名、基本认证和SASL（Simple Authentication and Secure Layer）认证。其中SASL认证即LDAP提供的在SSL和TLS安全通道基础上进行的身份认证，包括数字证书的认证。这是目前Internet上广泛采用的安全服务。LDAP通过StartTLS方式启动TLS服务，可以提供通讯中的数据保密性、完整性保护；通过强制客户端证书认证的TLS服务，同时可以实现对客户端身份和服务器端身份的双向验证。

　　由于漏洞是在Microsoft SSL库产生，所以所有使用SSL库的微软组件均受此漏洞影响。

　　预防办法：

　　采用Microsoft Windows NT架构系统的服务器，如无需开放SSL服务的建议关闭。如果SSL系统为内部网络使用，建议从防火墙block目标端口为443、636的数据包。所有Microsoft Windows NT架构Server用户，必须安装以下补丁。
金山毒霸强烈建议所有MS用户立即将系统补丁升级到最新版本，（目前有大量用户只安装了SP4和微软的冲击波补丁，这是很危险的）

下面是简体中文OS补丁下载地址：

Winnt Workstation:
http://download.microsoft.com/do ... B835732-x86-CHS.EXE
Winnt Server:
http://download.microsoft.com/do ... B835732-x86-CHS.EXE
Windows 2000:
http://download.microsoft.com/do ... B835732-x86-CHS.EXE
Windows XP:
http://download.microsoft.com/do ... B835732-x86-CHS.EXE
Windows 2003:
http://download.microsoft.com/do ... B835732-x86-CHS.EXE

　　如没有安装金山毒霸，可以登录http://online.kingsoft.net使用 ... �：010-82326868。

ctiger

今年可以称做病毒年，病毒不断“涌现”.