淺談Windows XP系統(tǒng)漏洞的封堵

2010-08-28 10:45:06來(lái)源:西部e網(wǎng)作者:

 

    微軟Windows XP自出世以來(lái)就在中國(guó)市場(chǎng)中獲得了廣泛好評(píng)和客戶的認(rèn)同,它出色的兼容性和移動(dòng)性也被業(yè)界所推崇。但是金無(wú)足赤、Windows XP也照樣存在著系統(tǒng)漏洞。如果我們對(duì)此不加強(qiáng)防范的話,網(wǎng)上黑客就會(huì)利用系統(tǒng)的漏洞讓你無(wú)法上網(wǎng),甚至對(duì)一些分區(qū)進(jìn)行格式化操作,侵入你的計(jì)算機(jī)盜取……,這樣造成的損失可是巨大的!怎樣才能保證你的Windows XP安全呢?比較好的辦法就是下載Windows安全補(bǔ)丁,既然Microsofe公司時(shí)不時(shí)就會(huì)在網(wǎng)上提供一些免費(fèi)的補(bǔ)丁,我們只要有時(shí)間就要去打打補(bǔ)丁。這樣既可以增強(qiáng)兼容性,又可以堵上已發(fā)現(xiàn)的安全漏洞,何樂(lè)而不為!下面就讓我們來(lái)看看究竟Windows XP有哪些安全漏洞,如何堵住這些漏洞呢?

  一、切換功能漏洞

  Windows XP快速用戶切換功能存在漏洞,當(dāng)你單擊“開(kāi)始”/注銷/“切換用戶”啟動(dòng)快速用戶切換功能,在傳統(tǒng)登陸方法下重試登錄一個(gè)用戶名時(shí),系統(tǒng)會(huì)誤認(rèn)為有暴力猜解攻擊,因而會(huì)鎖定全部非管理員賬號(hào)。

  解決辦法:?jiǎn)螕艨刂泼姘?用戶帳戶/更改用戶登錄或注銷的方式,取消“使用快速用戶切換”(如圖1),以便禁用用戶快速切換功能。

\

    二、不可靠的即插即用

  UPnP亦稱通用即插即用軟件(全稱Universal Plug and Play),微軟這個(gè)軟件是基于互聯(lián)網(wǎng)協(xié)議的,它允許不同的設(shè)備如電腦、掃描儀、打印機(jī)聯(lián)成網(wǎng)絡(luò),可以在彼此之間自動(dòng)識(shí)別,并進(jìn)行通信,這樣用戶不需要再挨個(gè)地為每個(gè)外設(shè)來(lái)配置計(jì)算機(jī)了,安坐家中可以開(kāi)視頻會(huì)議,打聯(lián)網(wǎng)的視頻游戲了,而且XP操作系統(tǒng)在發(fā)售時(shí)就已經(jīng)激活了UPnP功能,給用戶帶來(lái)極大的方便。然而,事實(shí)上并沒(méi)有完美的,UPnP也存在安全漏洞。黑客可以利用該軟件上的漏洞控制同一網(wǎng)絡(luò)上的電腦,或者發(fā)動(dòng)DOS攻擊。當(dāng)然更為嚴(yán)重的是,來(lái)自同一網(wǎng)絡(luò)的其它用戶甚至不需要知道該計(jì)算機(jī)的IP地址,就可以對(duì)其發(fā)對(duì)攻擊。具體來(lái)講,UPnP服務(wù)可以導(dǎo)致以下兩個(gè)安全漏洞:

  (1)緩沖溢出問(wèn)題

  UPNP 協(xié)議存在安全漏洞問(wèn)題,最早是由eEye數(shù)字安全公司發(fā)現(xiàn)并通知微軟的。其中的UPnP存在緩沖區(qū)溢出問(wèn)題,也是Windows中有史以來(lái)最嚴(yán)重的緩沖溢出漏洞,當(dāng)處理 NOTIFY 命令中的Location字段時(shí),如果IP地址、端口和文件名部分超長(zhǎng),就會(huì)發(fā)生緩沖區(qū)溢出,由此會(huì)造成服務(wù)器程序的一些進(jìn)程,其內(nèi)存空間的內(nèi)容被覆蓋。由于UPnP服務(wù)運(yùn)行在系統(tǒng)的上下文,攻擊者如果利用漏洞成功,可以完全控制主機(jī)。更為嚴(yán)重的是SSDP服務(wù)器程序同樣也監(jiān)聽(tīng)廣播和多播接口,所以攻擊者可以同時(shí)攻擊多個(gè)機(jī)器而不需要知道單個(gè)主機(jī)的IP地址。

  解決方法:由于Windows XP打開(kāi)了UPnP(通用即插即用)功能,因此所有Win XP用戶都應(yīng)該立即安裝該補(bǔ)。欢鳺in ME的用戶,只有在運(yùn)行了UPnP的情況下才需要該補(bǔ)丁,因?yàn)閃indows ME的UPnP功能在安裝時(shí)是關(guān)閉的;至于Win98,由于其中并沒(méi)有UPnP,只有當(dāng)用戶自己安裝了UPnP的情況下,才需要使用該補(bǔ)丁。下載并安裝補(bǔ)。

  Microsoft Windows 98/98SE:asp?ReleaseID=34991">http://www.microsoft.com/Downloads/Release.asp?ReleaseID=34991

  Microsoft Windows ME:http://download.microsoft.com/download/winme/Update/22940/WinMe/EN-US/314757USAM.EXE

  Microsoft Windows XP:http://www.microsoft.com/Downloads/Release.asp?ReleaseID=34951

  (2)系統(tǒng)容易被欺騙

  對(duì)運(yùn)行了UPnP服務(wù)的系統(tǒng)實(shí)施攻擊并非難事,只要向該系統(tǒng)的1900端口發(fā)送一個(gè)UDP包,其中“LOCATION”域的地址指向另一個(gè)系統(tǒng)的Chargen端口,就可能使系統(tǒng)進(jìn)入一個(gè)無(wú)限的連接循環(huán),這將會(huì)導(dǎo)致受影響系統(tǒng) CPU 和內(nèi)存占用率達(dá)100%,使遠(yuǎn)程XP系統(tǒng)完全不能使用而拒絕了服務(wù),只有通過(guò)重啟后系統(tǒng)才能恢復(fù)正常。另外,攻擊者只要向某個(gè)擁有眾多XP主機(jī)的網(wǎng)絡(luò)發(fā)送一個(gè)偽造的UDP報(bào)文,也可能會(huì)導(dǎo)致目標(biāo)網(wǎng)絡(luò)上所有的XP主機(jī)通過(guò)所選擇的URL,執(zhí)行了一個(gè)攻擊的選擇。而且當(dāng)UPNP的部分服務(wù)被當(dāng)作UDP來(lái)執(zhí)行的時(shí)候,他產(chǎn)生的所有這些攻擊都是難以找到的。

  解決辦法:最明智的做法是完全關(guān)閉UPNP服務(wù),因?yàn)榇蠖鄶?shù)的人都不用他們。要記。悍⻊(wù)開(kāi)得越少,你就越安全。單擊XP的控制面板/管理工具/服務(wù),雙擊“Universal Plug and Play Device Host”服務(wù),在啟動(dòng)類型中選擇“已禁用”(如圖2)關(guān)閉UPnP服務(wù)。

\

    三、熱鍵并不那么輕松

  熱鍵打開(kāi)程序的方式是很方便的,所以熱鍵功能也是Win XP的系統(tǒng)服務(wù)之一。當(dāng)用戶登陸Win XP時(shí),熱鍵功能隨之啟動(dòng),于是你就可以使用系統(tǒng)默認(rèn)的、或者自己設(shè)置的熱鍵了。如果你的電腦沒(méi)有設(shè)置屏幕保護(hù)程序和密碼,而你需要暫時(shí)離開(kāi)電腦,辦理其他事情,Win XP就會(huì)在處于靜止?fàn)顟B(tài)一段時(shí)間后進(jìn)行自動(dòng)注銷,不過(guò)這種“注銷”是一種假注銷,你所有的后臺(tái)程序都還在運(yùn)行,與沒(méi)有注銷前幾乎沒(méi)有什么差別,因此其他人雖然進(jìn)不了你的桌面,看不到你的電腦里放了些什么,但是卻可以繼續(xù)使用熱鍵。

  這時(shí)一個(gè)別有用心的并且經(jīng)驗(yàn)豐富的人就可以利用這些熱鍵干一些事,最簡(jiǎn)單比如打開(kāi)N個(gè)大程序,來(lái)破壞你的機(jī)器,可以打開(kāi)并使用某個(gè)程序,特別是一些與網(wǎng)絡(luò)有關(guān)的敏感程序(和服務(wù))……

  解決辦法:其實(shí),利用這個(gè)漏洞做出壞事的幾率是十分小的,但漏洞確實(shí)存在,不得不防吧!所以在離開(kāi)計(jì)算機(jī)的時(shí)候,還是按下Windows鍵+L鍵,鎖定計(jì)算機(jī);或者打開(kāi)屏幕保護(hù)程序、并設(shè)置密碼;或者檢查可能會(huì)帶來(lái)危害的程序和服務(wù)的熱鍵,取消這些熱鍵。

  四、遠(yuǎn)程控制輕易別用

  當(dāng)連接建立的時(shí)候,Windows XP遠(yuǎn)程桌面把賬戶名以明文發(fā)送給連接它的客戶端。發(fā)送的賬戶名不一定是遠(yuǎn)端主機(jī)的用戶賬號(hào),也可以是最常被客戶端使用的賬戶名,網(wǎng)絡(luò)上的嗅探程序可能會(huì)捕獲到這些賬戶信息。

  建立網(wǎng)絡(luò)連接時(shí),Win XP遠(yuǎn)程桌面會(huì)把用戶名以明文形式、發(fā)送到連接它的客戶端。發(fā)送的用戶名可以是遠(yuǎn)端主機(jī)的用戶名,也可能是客戶端常用的用戶名,網(wǎng)絡(luò)上的嗅探程序可能會(huì)捕獲到這些賬戶信息。

  安全對(duì)策:?jiǎn)螕艨刂泼姘?系統(tǒng)/遠(yuǎn)程,取消“允許用戶遠(yuǎn)程連接到這臺(tái)計(jì)算機(jī)”(如圖3),以便停止遠(yuǎn)程桌面使用。

\

    五、“幫助和支持中心”缺陷

  Windows XP的“幫助和支持中心”功能(如圖4),可以向用戶提供集中化服務(wù)和幫助,如提供產(chǎn)品文檔,判斷硬件兼容性幫助,訪問(wèn)Windows更新,Microsoft在線幫助等。用戶和程序可以通過(guò)使用"hcp://"前綴執(zhí)行URI鏈接來(lái)訪問(wèn)幫助和支持中心。由于幫助和支持中心程序沒(méi)有有效的檢查通過(guò)HCP協(xié)議傳遞來(lái)的信息,導(dǎo)致一個(gè)緩沖溢出漏洞存在。當(dāng)用戶與因特網(wǎng)聯(lián)接時(shí),黑客就可以利用這個(gè)安全漏洞,從一個(gè)網(wǎng)頁(yè)或HTML格式電子郵件中的鏈接對(duì)存在這一缺陷的機(jī)器進(jìn)行遠(yuǎn)程訪問(wèn),能夠打開(kāi)或刪除被攻擊機(jī)器上的文件。

  解決辦法:到微軟的網(wǎng)站下載安裝解決該問(wèn)題的補(bǔ)丁,或者安裝微軟發(fā)布的Windows XP SP1,Win XP SP1可以從微軟的網(wǎng)站下載或者購(gòu)買。

\

 

關(guān)鍵詞:winxp