Microsoft 安全公告 MS15-083 - 重要提示

服务器消息块中的漏洞可能导致远程代码执行(3073921)

发布时间: 2015 年 8 月 11 日 |更新时间:2015 年 9 月 8 日

版本: 2.0

执行摘要

此安全更新可解决 Microsoft Windows 中的漏洞。 如果攻击者将特制字符串发送到 SMB 服务器错误日志记录,该漏洞可能会允许远程代码执行。

对于所有受支持的 Windows Vista 和 Windows Server 2008 版本,此安全更新都被评为“重要”。 有关详细信息,请参阅 “受影响的软件 ”部分。

安全更新通过更正某些日志记录活动来阻止内存损坏来解决漏洞。 有关漏洞的详细信息,请参阅 “漏洞信息 ”部分。

有关此更新的详细信息,请参阅 Microsoft 知识库文章3073921

受影响的软件

以下软件版本或版本受到影响。 未列出的版本或版本要么超过其支持生命周期,要么不受影响。 若要确定软件版本或版本的支持生命周期,请参阅Microsoft 支持部门生命周期

操作系统 最大安全影响 聚合严重性分级 已替换汇报*
Windows Vista
Windows Vista Service Pack 2 (3073921) 远程代码执行 重要 MS10-012 中的 971468
Windows Vista x64 版本 Service Pack 2 (3073921) 远程代码执行 重要 MS10-012 中的 971468
Windows Server 2008
Windows Server 2008 for 32 位系统 Service Pack 2 (3073921) 远程代码执行 重要 MS10-012 中的 971468
基于 x64 的系统 Service Pack 2 的 Windows Server 2008 (3073921) 远程代码执行 重要 MS10-012 中的 971468
基于 Itanium 的系统 Service Pack 2 的 Windows Server 2008 (3073921) 远程代码执行 重要 MS10-012 中的 971468
服务器核心安装选项
Windows Server 2008 for 32 位系统 Service Pack 2 (服务器核心安装) (3073921) 远程代码执行 重要 MS10-012 中的 971468
Windows Server 2008 for x64 based Systems Service Pack 2 (Server Core installation) (3073921) 远程代码执行 重要 MS10-012 中的 971468

*汇报替换列仅显示被取代更新链中的最新更新。 有关替换的更新的完整列表,请转到 Microsoft 更新目录,搜索更新知识库(KB)编号,然后查看更新详细信息(更新替换的信息是在“程序包详细信息”选项卡上提供的)。

严重性分级和漏洞标识符

以下严重性分级假定漏洞的潜在最大影响。 有关此安全公告发布 30 天内漏洞的可利用性及其严重性评级和安全影响的信息,请参阅 8 月公告摘要中的 Exploitability Index。

受影响的软件的漏洞严重性分级和最大安全影响
受影响的软件 服务器消息块内存损坏漏洞 - CVE-2015-2474 聚合严重性分级
Windows Vista
Windows Vista Service Pack 2 (3073921) 重要的 远程代码执行 重要说明 
Windows Vista x64 Edition Service Pack 2 (3073921) 重要的 远程代码执行 重要说明 
Windows Server 2008
Windows Server 2008 for 32 位系统 Service Pack 2 (3073921) 重要的 远程代码执行 重要说明 
基于 x64 的系统 Service Pack 2 的 Windows Server 2008 (3073921) 重要的 远程代码执行 重要说明 
基于 Itanium 的系统 Service Pack 2 的 Windows Server 2008 (3073921) 重要的 远程代码执行 重要说明 
服务器核心安装选项
Windows Server 2008 for 32 位系统 Service Pack 2 (服务器核心安装) (3073921) 重要的 远程代码执行 重要说明 
基于 x64 的系统 Service Pack 2(服务器核心安装)的 Windows Server 2008(3073921) 重要的 远程代码执行 重要说明 

漏洞信息

服务器消息块内存损坏漏洞 - CVE-2015-2474

Windows 中存在经过身份验证的远程代码执行漏洞,当服务器消息块(SMB)处理某些日志记录活动时,会导致内存损坏。 成功利用此漏洞的攻击者可以完全控制受影响的系统。 然后,攻击者可能会安装程序、查看更改项或删除数据,还可能会使用完全用户权限创建新的帐户。

在攻击方案中,攻击者将拥有有效的凭据,并将特制字符串发送到 SMB 服务器错误日志记录。

更新通过更正某些日志记录活动来排除内存损坏来解决漏洞。 Microsoft 通过协调的漏洞泄露收到了有关此漏洞的信息。 发布此安全公告时,Microsoft 未收到任何信息,表明此漏洞已公开用于攻击客户。

缓解因素

Microsoft 尚未识别此漏洞的任何 缓解因素

解决方法

以下解决方法可能对你的情况有所帮助:

  • 禁用 SMBv1

    方法 1 (使用 PowerShell):

    1. 在具有 PowerShell 2.0 或更高版本的 Windows Vista 和 Windows Server 2008 上,可以执行以下 PowerShell 命令:

      Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force.
      
    2. 重新启动系统。

    方法 2 (使用托管部署脚本):

    1. 创建一个名为 SMBv1-disable.reg 的文本文件,其中包含以下文本:

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
      "SMB1"=dword:00000000
      
    2. 运行 Regedit.exe 。

    3. 在注册表编辑器中 ,单击“文件” 菜单,然后单击“ 导入”。

    4. 导航到并在 第一步中创建的 SMBv1-disable.reg文件。 (请注意 ,如果文件未在预期位置列出,请确保该文件未自动获得.txt文件扩展名,或者将对话框的文件扩展名参数更改为 “所有文件”)。

    5. 单击“打开,然后单击“确定关闭注册表编辑器。

    6. 重新启动系统。

解决方法的影响。 SMB 可能无法正常工作。

如何撤消解决方法。

方法 1 (使用 PowerShell)

  1. 在具有 PowerShell 2.0 或更高版本的 Windows Vista 和 Windows Server 2008 上,可以执行以下 PowerShell 命令:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force.
    
  2. 重新启动系统。

方法 2 (使用托管部署脚本):

  1. 创建一个名为 SMBv1-enable.reg 的文本文件,其中包含以下文本:

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
    "SMB1"=dword:00000001
    
  2. 运行 Regedit.exe 。 3. 在注册表编辑器中 ,单击“文件” 菜单,然后单击“ 导入”。 4.导航到并在 第一步中创建的 SMBv1-enable.reg文件。 (请注意 ,如果文件未在预期位置列出,请确保该文件未自动获得.txt文件扩展名,或者将对话框的文件扩展名参数更改为 “所有文件”)。 5.单击“打开,然后单击“确定关闭注册表编辑器。 6.重启系统。

    • 在 SMB 中禁用身份验证的扩展保护

    请注意 ,在设置任何强化模式之前,请参阅以下 MSDN 文章: 针对身份验证的扩展保护概述

    1. 单击“开始”,单击“运行“打开”框中键入 Regedit,然后单击“确定”。

    2. 导航到以下注册表位置:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
      
    3. “编辑”菜单上,选择“新建,然后单击“DWORD 值”。

    4. 键入“SmbServerNameHardeningLevel”,然后按 Enter

    5. “编辑 ”菜单上,单击“ 修改”。

    6. 将 SmbServerNameHardeningLevel 的值设置为 0,然后单击“ 确定”。

    7. 关闭注册表编辑器并重启系统。

    解决方法的影响。 SMB 可能无法正常工作。

    如何撤消解决方法。 

    1. 单击“开始”,单击“运行“打开”框中键入 Regedit,然后单击“确定”。

    2. 导航到以下注册表位置:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
      
    3. 选择“SmbServerNameHardeningLevel”,然后按 Enter

    4. “编辑”菜单上,单击“删除,然后单击“”。

    5. 关闭注册表编辑器并重启系统。

安全更新部署

有关安全更新部署信息,请参阅“执行摘要”中此处引用的 Microsoft 知识库文章。

致谢

Microsoft 认识到安全社区中那些帮助我们通过协调漏洞披露来保护客户的努力。 有关详细信息,请参阅确认。

免责声明

Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。

修订

  • V1.0(2015 年 8 月 11 日):公告已发布。
  • V2.0(2015 年 9 月 8 日):为了全面解决 CVE-2015-2472 问题,Microsoft 为受影响的 Windows Vista 和 Windows Server 2008 版本重新发布了安全更新3073921。 运行以前安装更新的 Windows Vista 或 Windows Server 2008 的客户应重新安装更新,以完全保护该漏洞。 有关详细信息,请参阅 Microsoft 知识库文章3073921

页面生成的 2015-09-08 09:23-07:00。