安全公告
Microsoft 安全公告 MS00-036 - 严重
可用于“ResetBrowser Frame”和“HostAnnouncement Frame”漏洞的修补程序
发布时间: 2000 年 5 月 25 日
版本: 1.0
最初发布: 2000 年 5 月 25 日
总结
Microsoft 发布了一个修补程序,它消除了两个安全漏洞,一个影响 Microsoft® Windows NT® 4.0 和 Windows® 2000,另一个仅影响 Windows NT 4.0。 在某些情况下,漏洞可能会使恶意用户难以或不可能在网络上查找服务和计算机;在最坏的情况下,它可能允许他提供有关相同服务和计算机的不正确信息。
受影响的软件:
- Microsoft Windows NT 4.0 工作站
- Microsoft Windows NT 4.0 Server
- Microsoft Windows NT 4.0 Server,企业版
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Server
- Microsoft Windows 2000 高级服务器
注意: Windows 95、Windows 98 和 Windows NT 4.0 Server、Terminal Server Edition 还提供计算机浏览器协议的实现。 但是,它们未列为受影响的产品,因为利用这些漏洞的方案(依赖于计算机浏览的大型网络)正是最不可能使用 Windows 95、Windows 98 或 Windows NT 4.0 终端服务器作为主浏览器的情况。
漏洞标识符
- HostAnnouncement 洪水漏洞: CVE-2000-0403
- ResetBrowser 帧漏洞: CVE-2000-0404
常规信息
技术详细信息
技术说明:
Windows NT 4.0 和 Windows 2000 实现 CIFS 计算机浏览器协议。 存在两个漏洞,因为管理员无法限制主浏览器是否响应某些帧。 这两个漏洞包括:
- 影响 Windows NT 4.0 和 Windows 2000 的“ResetBrowser Frame”漏洞。 与大多数实现一样,Windows 实现提供 Master Browser 通过 ResetBrowser 帧关闭其他浏览器的功能。 但是,无法将浏览器配置为忽略 ResetBrowser 帧。 这可能允许恶意用户关闭其子网上的浏览器,作为对浏览器服务的拒绝服务攻击,或者在最坏的情况下关闭所有浏览器,并声明他的计算机为新的 Master Browser。
- “HostAnnocement Flooding”漏洞,这不会影响 Windows 2000。 由于没有限制 Windows NT 4.0 中浏览表的大小的方法,恶意用户可以将大量虚假的 HostAnnouncement 帧发送到 Master Browser。 生成的副本 (replica)流量可能会消耗大部分或全部网络带宽,并导致处理表的其他问题。
如果防火墙已到位并阻止端口 138 UDP,则外部用户无法利用这两个漏洞。 即使是内部用户也只能攻击其计算机所在的同一子网上的浏览器。 正常的管理工具将允许管理员确定谁装载了攻击。
常见问题解答
此公告的内容是什么?
Microsoft 安全公告 MS00-036 宣布了一个修补程序的可用性,该修补程序可消除两个漏洞,一个漏洞影响 Microsoft® Windows NT® 4.0 和 Windows® 2000 系统,另一个仅影响 Windows NT 4.0 系统。 Microsoft 致力于保护客户的信息,并提供公告,告知客户漏洞及其可执行的操作。
漏洞的范围是什么?
这些漏洞可能使恶意用户难以或不可能在网络上查找服务或其他计算机。 在最坏的情况下,第一个漏洞还可以使恶意用户向网络用户提供虚假信息。
在大多数情况下,恶意用户只能利用其计算机处于的子网中的这些漏洞。 此外,如果已正确配置的防火墙已到位,外部用户无法针对网络利用此漏洞。 最后,正常的系统管理工具将允许管理员找到装载攻击的用户。
什么是漏洞?
此处存在两个漏洞:
- 影响 Windows NT 4.0 和 Windows 2000 系统的“BrowserReset Frame”漏洞。
- “HostAnnocement Flooding”漏洞,仅影响 Windows NT 4.0 系统。
除了这两个漏洞都涉及计算机浏览器服务之外,这两个漏洞之间没有关系。
这些漏洞是否涉及 Internet Explorer?
否。 此处的浏览类型不是 Web 浏览,它是 计算机浏览。 计算机浏览是一种机制,用于发现提供特定服务的域中的服务器。 在 Windows 中使用网络邻里查找其他计算机时,将使用计算机浏览机制。
计算机浏览包含在 CIFS/E 协议系列中。 CIFS 是通用 Internet 文件系统,它定义了一个标准协议,用于通过 Internet 访问远程文件系统。 这样,用户组就可以跨 Internet 或公司 Intranet 协作和共享文档。 CIFS/E 是一系列协议,用于扩展 CIFS,以便在企业网络中使用。 CIFS/E 中的协议包括讨论实现计算机浏览器的协议。
计算机浏览的工作原理是什么?
在协议下,子网上的每个域都有一个 Master Browser。 Master Browser 的功能是管理其他浏览器(称为备份浏览器),并保存域中可用的服务器和资源权威列表。 每当新服务器加入域时,它都向 Master Browser 注册,并告知它提供哪些服务。 Master Browser 会定期将其服务器和资源列表副本 (replica)到备份浏览器(服务从客户端进行查询)。
如果域跨越多个子网,则会有一个域主浏览器,其作业是保留所有子网的主浏览器同步。 默认情况下,主域控制器充当域主浏览器。 但是,如果域主浏览器或其他任何主浏览器发生某种情况,则会在其余浏览器之间举行选举,以确定哪个浏览器将提升为 Master Browser。
浏览器通过称为帧的命令相互通信。 此处的漏洞涉及这两个帧的功能:ResetBrowser 帧和 HostAnnouncement 帧。
计算机浏览器听起来很像 Windows 2000 中的 Active Directory。 它们之间的关系是什么?
计算机浏览器和 Active Directory 执行类似的任务 - 同时帮助用户查找网络上可用的计算机和服务。 但是,相似之处到此为止。 Active Directory 更高效且更安全,并且从事同质 Windows 2000 环境的客户根本不需要计算机浏览器。 事实上,计算机浏览器仅在 Windows 2000 中提供,以便实现下层兼容性,并且将在将来的 Windows 版本中完全淘汰。
导致“ResetBrowser Frame”漏洞的原因是什么?
之所以出现此漏洞,是因为 ResetBrowser 帧可能会误用以关闭提供浏览信息的计算机。 这可用于拒绝浏览服务到网络,在某些情况下,可能会允许恶意用户篡夺浏览服务。
哪些计算机受此漏洞影响?
此漏洞影响用作域主浏览器、主浏览器或备份主浏览器的 Windows NT 4.0 和 Windows 2000 计算机。
ResetBrowser 帧的作用是什么?
ResetBrowser 帧允许 Master Browser 关闭备份浏览器。 尽管协议不需要,但浏览器协议的所有实现(包括非 Microsoft 实现)都包含此框架。
通常使用 ResetBrowser 帧的两种方案。 首先,它用于从子网中删除多余的备份浏览器。 如果需要的浏览器多,副本 (replica)通信可能会导致网络性能受到影响。 其次,如果备份浏览器与其他浏览器不同步,Master Browser 可能会使用 ResetBrowser 帧将其关闭。
ResetBrowser 帧有什么问题?
ResetBrowser 帧本身没有问题。 漏洞结果是因为没有办法将计算机配置为忽略重置浏览器帧,恶意用户可能会发送 ResetBrowser 帧来关闭一个或多个浏览器。
如果主浏览器通常使用此帧,那么恶意用户为什么要发送它?
根据设计,计算机浏览器协议未经身份验证。 本身,这并不构成安全漏洞,这与其说是 TCP/IP 或其他未经身份验证的协议的漏洞。 但是,这确实意味着管理员应采取预防措施,尽量减少恶意用户滥用协议未经身份验证的性质的机会。 为此问题提供修补程序的一个目的是允许管理员执行此操作。
此漏洞允许恶意用户执行哪些操作?
如果恶意用户显著赢得了域的浏览器填充,则整个网络性能可能会受到影响。 但是,如果他关闭所有浏览器,选择新的 Master Browser 的规则将允许恶意用户的计算机简单地声明自己新的 Master Browser。 如果计算机碰巧与域主浏览器位于同一子网上,则它可能会通过此攻击成为域主浏览器。
如果恶意用户利用了此漏洞,管理员能否告知发生了什么情况?
是的。 最简单的情况是攻击者重置所有浏览器,并将计算机声明为新的 Master。 很明显,谁装载了攻击,因为他的计算机将是 Master Browser。
更困难的情况是恶意用户关闭某些浏览器而不是所有浏览器,但没有尝试使计算机成为主服务器。 管理员知道攻击发生的时间,因为浏览器关闭记录在事件日志中。 他还知道,攻击源自与受攻击的计算机相同的子网,因为 NetBios 是不可路由的协议。 然后,他可以确定发生攻击时子网上的哪些计算机处于活动状态。 如果需要其他数据,他可以使用网络监视来最终发现恶意用户。
导致“HostAnnocement Flooding”漏洞的原因是什么?
此漏洞会导致恶意用户向 Master Browser 发送大量 HostAnnouncement 帧,以便浏览列表-子网上可用的服务器和服务列表。
哪些计算机受此漏洞影响?
只有用作域主浏览器、主浏览器或备份主浏览器的 Windows NT 4.0 计算机才会受到此漏洞的影响。 Windows 2000 已具有限制浏览表可能变大且不受此漏洞影响的功能。
HostAnnouncement 帧的作用是什么?
HostAnnouncement 框架是服务器用来告诉浏览器母版提供哪些服务。 当服务器最初联机时,它会发送 HostAnnouncement 帧以将其服务添加到浏览列表;如果服务列表发生更改,服务器会发送另一个 HostAnnouncement 帧来更新列表。
HostAnnouncement 帧有什么问题?
HostAnnouncement 帧没有问题。 服务器必须有办法告诉 Master Browser 他们提供的服务。 漏洞结果是因为 Master Browser 无法限制恶意用户可添加到浏览列表中的条目数。
此漏洞允许恶意用户执行哪些操作?
如果恶意用户向 Master Browser 发送了足够多的 HostAnnouncement 帧,则可能会产生三个效果:
- 在处理传入的 HostAnnouncement 帧时,Master Browser 可能无法处理其任何其他任务。
- 当 Master Browser 将浏览表副本 (replica)到备份主浏览器时,生成的网络流量可能会消耗大部分或全部可用的网络带宽
- 当客户端使用网络邻里浏览附近计算机列表时,处理大型浏览表可能会阻止客户端执行任何其他有用的工作。
如果恶意用户利用了此漏洞,管理员能否告知发生了什么情况?
是的。 利用此漏洞需要恶意用户创建并发送大量 HostAnnouncement 帧。 与“ResetBrowser Frame”漏洞一样,网络管理员会知道这些帧源自与受攻击的计算机位于同一子网上的计算机。 网络监视将允许管理员确定谁正在发送它们
是否可以远程利用其中任一漏洞?
如果观察到建议的安全预防措施,则无法远程利用这两个漏洞。 如果防火墙已设置阻止端口 138 UDP,它将阻止 ResetBrowser 帧或 HostAnnouncement 帧到达网络内部的计算机。
修补程序的作用是什么?
修补程序提供注册表项,允许管理员配置计算机以忽略 ResetBrowser 和 HostAnnouncement 帧。
在 Windows NT 4.0 计算机上,提供了两个新的注册表项:
| Hive | HKEY_LOCAL_MACHINE \SYSTEM |
| 键 | CurrentControlSet\Services\RDR\Parameters |
| Name | RefuseReset |
| 值类型 | DWORD |
| 默认值 | 无(已接受 ResetBrowser 帧) |
| Hive | HKEY_LOCAL_MACHINE \SYSTEM |
| 键 | CurrentControlSet\Services\MrxSmb\Parameters |
| Name | MaximumBrowseEntries |
| 值类型 | DWORD |
| 默认值 | 100000 |
Windows 2000 已经支持 MaximumBrowseEntries 值,因此 Windows 2000 修补程序仅添加对 RefuseReset 值的支持。 (请注意,Windows 2000 的注册表项值不同于上述 Windows NT 4.0 值)。
| Hive | HKEY_LOCAL_MACHINE \SYSTEM |
| 键 | CurrentControlSet\Services\MrxSmb\Parameters |
| Name | RefuseReset |
| 值类型 | DWORD |
| 默认值 | 无(已接受 ResetBrowser 帧) |
这些注册表项的功能分别在知识库文章Q262694和Q263307中讨论。
为什么默认情况下未启用 RefuseReset 注册表项?
拒绝集密钥默认处于禁用状态,因为它不适合在每台计算机上设置它,甚至是在每个浏览器中设置它。 RefuseReset 的好处是,它防止了欺骗攻击的可能性。 缺点是,它使更易管理 -- 有时主浏览器需要关闭删除麻烦的备份浏览器。 此外,启用 RefuseReset 可能会将网络公开为不同类型的攻击,在该攻击中,恶意用户会在子网上激增浏览器,以使用网络带宽。 若要解决此问题,管理员可能希望考虑在未作为浏览器参与的计算机上禁用 Browser 服务。
相比之下,不应在所有用作浏览器的计算机上设置 MaximumBrowseEntries 值的原因。 在浏览表中,很少需要超过 100000 个条目。
如何实现使用修补程序?
知识库文章包含将修补程序应用到站点的详细说明。
在哪里可以获取修补程序?
安全公告的“修补程序可用性”部分提供了修补程序的下载位置
如何判断是否正确安装了修补程序?
知识库(KB)文章提供了修补程序包中文件的清单。 验证是否已正确安装修补程序的最简单方法是验证计算机上是否存在这些文件,并具有相同的大小和创建日期,如知识库(KB)文章中所示。
计算机浏览器协议在所有 Windows 系统上实现。 为什么没有适用于 Windows 95、Windows 98 和 Windows NT 4.0 Server、Terminal Server Edition 的修补程序?
这些系统确实实现了计算机浏览器协议,但我们尚未开发修补程序来为这些系统添加 RefuseReset 和 MaximumBrowseEntries 函数。 原因是,此处发生攻击的网络将构成最大风险——具有许多用户的大型网络——正是那些不太可能将这些系统用作浏览器的网络。
Microsoft 对此有何操作?
- Microsoft 开发了一个可以消除漏洞的修补程序。
- Microsoft 提供了一份 安全公告 和本常见问题解答,可让客户详细了解漏洞和消除漏洞的过程。
- Microsoft 已将安全公告的副本发送给所有订阅者到 Microsoft 产品安全通知服务,这是一项免费的电子邮件服务,客户可以使用该服务随时了解 Microsoft 安全公告。
- Microsoft 发布了 知识库文章 ,更详细地介绍了漏洞和过程。
在哪里可以找到有关安全性的最佳做法的详细信息?
Microsoft TechNet 安全 网站是获取有关 Microsoft 安全性的信息的最佳位置。
如何实现获得此问题的技术支持?Microsoft 技术支持可以协助解决此问题或任何其他产品支持问题。
修补程序可用性
下载此修补程序的位置
Windows NT 4.0 工作站、服务器和服务器企业版:
https://www.microsoft.com/download/details.aspx?FamilyId=8375821F-9F40-4FC1-9757-D8D056B76351&displaylang;=enWindows 2000:
https://www.microsoft.com/download/details.aspx?FamilyId=4B4CB25B-66F8-4890-A762-B45447DF213E&displaylang;=en
有关此修补程序的其他信息
安装平台:有关此问题的详细信息, 请参阅以下参考。
其他信息:
确认
Microsoft 感谢 以下人员与我们合作来保护客户:
- McAfee 的 COVERT Labs,用于向我们报告“ResetBrowser Frame”漏洞。
- Cerberus 信息安全有限公司的大卫·利奇菲尔德向我们报告了“HostAnnouncement Flooding”漏洞。
支持: 这是完全支持的修补程序。 有关联系 Microsoft 产品支持服务的信息,请参阅 </https:>https:。
安全资源:Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。
免责声明:
Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修改:
- 2000 年 5 月 25 日:已创建公告。
构建于 2014-04-18T13:49:36Z-07:00</https:>