通过

安全公告

Microsoft 安全公告 MS02-011 - 低

身份验证缺陷可能允许未经授权的用户向 SMTP 服务进行身份验证

发布时间: 2002 年 2 月 27 日 |更新时间:2004 年 4 月 13 日

版本: 3.0

最初发布: 2002 年 2 月 27 日
更新时间: 2004 年 4 月 13 日
版本: 2.0

总结

谁应阅读此公告: 使用 Microsoft® Windows 2000、Windows® NT® Server 4.0 选项包、Exchange® Server 5.5 或 Exchange Server 5.0 的客户

漏洞的影响: 邮件中继。

最大严重性分级:

建议: 需要 Windows 2000 和 Windows NT Server 4.0 SMTP 服务的客户应应用 Windows 修补程序;所有其他客户都应禁用 SMTP 服务。 使用 Exchange Server 5.5 IMC 的客户应应用 Exchange Server 5.5 IMC 修补程序。 使用 Exchange 5.0 的客户可以应用以下常见问题解答部分中所述的解决方法。 Exchange 5.0 不受此漏洞的影响,但提供有关保护 Exchange 5.0 防范邮件中继的一般信息会提供给你的信息。

受影响的软件:

  • Microsoft Windows 2000
  • Microsoft Windows NT Server 4.0 选项包
  • Microsoft Exchange Server 5.5

常规信息

技术详细信息

技术说明:

在此公告发布后,确定所解决的漏洞也会影响 Windows NT Server 4.0 服务器选项包。 Microsoft 更新了公告,其中包含有关 Windows NT Server 4.0 选项包和 Exchange Server 5.0 的其他信息,并将用户定向到 Windows NT Server 4.0 的安全更新。

默认情况下,SMTP 服务作为 Windows 2000 服务器产品的一部分进行安装。 Windows NT Server 4.0 没有默认 SMTP 服务,但你可以安装 SMTP 服务作为 Windows NT 4 选项包的一部分。 SMTP 服务器是 Microsoft Exchange Server 5.5 和 Exchange Server 5.0 的 Internet 邮件连接或 IMC 的一部分。 (IMC 也称为 Microsoft Exchange Internet 邮件服务)提供对使用 SMTP 的任何系统的访问和邮件交换。 由于 Windows 和 Exchange 5.5 服务处理基础操作系统 NTLM 身份验证层的有效响应的方式存在缺陷,因此漏洞会导致 Windows 和 Exchange 5.5 服务。 Exchange 5.0 IMC 不支持基于身份验证允许或禁止邮件中继,因此此问题不适用于 Exchange 5.0。 如果你是 Exchange 5.0 管理员,请参阅本公告的“常见问题解答”部分,了解有关保护 Exchange 5.0 服务器免受恶意邮件中继的一般信息。

根据设计,Windows 2000 和 Windows NT Server 4.0 SMTP 服务以及 Exchange Server 5.5 IMC 在收到 NTLM 身份验证层的通知后,已对用户进行身份验证,执行其他检查,然后允许用户通过服务中继邮件。 漏洞结果是因为受影响的服务未正确执行此附加检查。 在某些情况下,这可能会导致 SMTP 服务仅根据用户成功向服务器进行身份验证的能力授予对用户的访问权限。

利用该漏洞的攻击者只能获得对 SMTP 服务的用户级特权,从而使攻击者能够使用该服务,但不能对其进行管理。 利用漏洞的最可能目的是通过服务器执行邮件中继。

缓解因素:

  • Exchange 2000 服务器不受漏洞影响,因为它们正确处理了 SMTP 服务的身份验证过程。
  • 该漏洞不会使攻击者能够读取其他用户的电子邮件,也不会以其他用户的身份发送邮件。
  • 最佳做法建议禁用不需要的服务。 如果 SMTP 服务已禁用,则无法利用邮件中继漏洞。
  • 该漏洞不会向服务授予管理权限,也不会授予攻击者运行程序或操作系统命令的能力。

严重性分级:

Internet 服务器 Intranet 服务器 客户端系统
Windows 2000
Windows NT Server 4.0
Exchange Server 5.5

上述 评估 基于受漏洞影响的系统类型、其典型部署模式以及利用漏洞对它们的影响。 攻击者只能中继邮件,并且无法读取邮件、获取系统特权或运行程序。

漏洞标识符:CAN-2002-0054

测试的版本:

Microsoft 测试了 Windows 2000、Windows NT 4.0 选项包 SMTP 服务、Exchange Server 5.5、Exchange Server 5.0 和 Exchange Server 2000,以评估它们是否受这些漏洞的影响。 以前的版本不再 受支持,可能会或不受这些漏洞的影响。

常见问题解答

为什么 Microsoft 重新发布此公告?
在此公告发布后,确定解决的漏洞也会影响 Windows NT Server 4.0 选项包。 Microsoft 更新了公告,其中包含有关 Windows NT Server 4.0 和 Exchange Server 5.0 的其他信息,还将用户定向到 Windows NT Server 4.0 的更新。

漏洞的范围是什么?
此漏洞可能导致未经授权的用户未经授权使用邮件服务器的资源。 这可能使攻击者能够伪装邮件的发源点,或共同选择服务器的资源进行大规模邮件。 此漏洞受约束约束:

  • 它只会影响运行 Exchange Server 5.5 Internet Mail 连接or 服务、本机 Windows 2000 SMTP 服务或本机 Windows NT Server 4.0 SMTP 服务的服务器。
  • 它不会向服务授予管理权限,也不会授予攻击者运行程序或操作系统命令的能力。
  • 运行 Exchange 2000 的邮件服务器不受此漏洞的影响。

导致漏洞的原因是什么?
由于身份验证错误影响 Windows 2000、Windows NT Server 4.0 和 Exchange Server 5.5 Internet Mail 连接or 中的 SMTP 服务,导致漏洞。 在向已向服务器进行身份验证的用户授予邮件权限之前,这些服务应执行其他检查;但是,它们不会正确执行此操作。

什么是 SMTP?
SMTP(简单邮件传输协议)是在 RFC 28212822 中定义的通过 Internet 传递邮件的行业标准。 协议定义邮件的格式、邮件中的字段及其内容以及邮件的处理过程。 SMTP 服务随 Windows 2000 一起提供,默认安装在服务器产品上。

什么是 Exchange 5.5 Internet Mail 连接or?
Internet Mail 连接or (IMC) 是 Exchange Server 5.5 中的组件,允许从使用 SMTP 的其他服务器发送和接收邮件。 默认情况下,它作为 Exchange Server 5.5 的一部分进行安装,有时也称为 Exchange Server 5.5 Internet 邮件服务。

Windows 2000 SMTP 服务、Windows NT Server 4.0 SMTP 服务和 Exchange Server 5.5 IMC 有什么问题?
用户必须先向服务器进行身份验证,然后用户才能使用邮件服务。 但是,即使成功执行此操作,邮件服务本身也应该执行额外的检查,以确保允许用户访问它们是适当的。 Windows 2000 SMTP 服务、Windows NT Server 4.0 SMTP 服务和 Exchange Server 5.5 IMC 无法正确执行此附加检查。 结果是,成功向服务器进行身份验证的用户将始终能够使用邮件服务,即使它不合适。

这会使攻击者能够做什么?
该漏洞将使攻击者能够将邮件请求作为授权用户进行征税。 也就是说,攻击者可以发送邮件。 此漏洞最有可能用于执行邮件中继。

什么是邮件中继?
邮件中继是一种将电子邮件路由到中间邮件服务器的做法,然后将其传递到收件人的邮件服务器。 邮件中继通常是一种合法的做法。 例如,假设一家拥有多个服务器的公司已将其中一个服务器指定为 Internet 的邮件网关。 发送到公司的任何电子邮件都将到达网关服务器,然后中继到相应的服务器,以便传递到收件人。 但是,恶意用户有时还尝试执行未经授权的邮件中继。 例如,具有低端服务器和慢网络连接的垃圾邮件发送者可能会使用邮件中继来获取其他人更高功率的邮件服务器和快速网络连接来代表他们发送垃圾邮件。 邮件中继也被滥用,以掩盖电子邮件的发源点。

漏洞是否允许攻击者对服务器执行任何其他操作?
该漏洞只会将 SMTP 服务的用户级权限授予攻击者 - 它不会向服务授予管理权限,也不会授予攻击者运行程序或操作系统命令的能力,也不允许攻击者读取、创建或发送其他用户的邮件。

这是否会影响所有 Windows 2000 服务器?
只有在安装并运行 SMTP 服务时,Windows 2000 服务器才会受到影响。 这是默认配置;但是,Microsoft 始终 建议 查看服务列表并禁用不需要的任何服务。

这是否会影响所有 Windows NT Server 4.0 服务器?

只有在安装并运行 SMTP 服务时,Windows NT Server 4.0 服务器才会受到影响。 如果已应用 NT Server 4.0 选项包,则这是默认配置;但是,Microsoft 始终 建议 查看服务列表并禁用不需要的任何服务。

这是否会影响所有 Exchange 5.0 服务器?

否,因为 Exchange 5.0 服务器不支持基于身份验证允许或禁止邮件中继。 如果不对经过身份验证的用户禁用此功能,则无法阻止未经身份验证的用户中继邮件。

在 Exchange 5.5 中,添加了新功能,以便仅为经过身份验证的连接启用 SMTP 路由,同时将其禁用为其他连接。 此新功能对为经过身份验证的用户启用 SMTP 路由并关闭其他人的影响。

如何保护 Exchange 5.0 服务器?

Microsoft 建议不要将 Exchange 5.0 Internet 邮件连接或直接连接到 Internet,除非禁用 SMTP 路由。 若要禁用 SMTP 路由,请使用 Exchange 管理员istrator 在 Internet Mail 连接or 对象的属性上选择“不重新路由传入的 SMTP 邮件”。

如果关闭 SMTP 路由,这意味着通过 POP3 或 IMAP4 协议连接到 Exchange 服务器的客户端将无法使用其 SMTP 服务器发送电子邮件,但其他用户除外。 这包括所有 Outlook Express 客户端。 使用 MAPI 协议(Outlook 用户)的客户端不会受到影响。

此漏洞是否会影响 Windows XP Professional?
Windows XP Professional 已经过测试,并且不受此漏洞的影响。

我在 Windows 2000 系统上运行 Exchange Server 5.5。 我应应用 Windows 2000 修补程序或 Exchange Server 5.5。 补丁?
Exchange 5.5 管理员管理员只需应用下面介绍的最新 IMC 修补程序。 无需应用 Windows 2000 修补程序。

我运行的是 Exchange 2000 Server。 是否需要修补程序?
否。 尽管 Exchange 2000 Server 可以安装在 Windows 2000 服务器上(事实上,它是唯一可以安装的系统),但 Exchange 2000 Server 不受此漏洞的影响。 Exchange 2000 Server 安装执行其他检查的组件。

修补程序的作用是什么?
修补程序通过确保 SMTP 服务在允许用户对其发出请求之前正确进行身份验证来消除漏洞。

MS02-011 和 MS02-12 是否有单个 Windows 2000 修补程序?
是的,MS02-011MS02-012 的 Windows 2000 修补程序相同。

修补程序可用性

下载此修补程序的位置

有关此修补程序的其他信息

安装平台:

包含在将来的 Service Pack 中:

此问题的修补程序将包含在 Windows 2000 SP3 中

需要重新启动:

取代的修补程序: 无。

取代修补程序:

验证修补程序安装:

Exchange Server 5.5:

  • 若要验证是否已在计算机上安装修补程序,请确认已在 Exchange Server 5.5 计算机上创建了以下注册表项:HKEY_LOCAL_MACHINE\Software\Microsoft\汇报\Exchange 5.5\SP5\Q289258。
  • 若要验证各个文件,请使用以下注册表项中提供的日期/时间和版本信息:HKEY_LOCAL_MACHINE\Software\Microsoft\汇报\Exchange 5.5\SP5\Q289258\filelist。

Windows NT Server 4.0:

  • 若要验证是否已在计算机上安装修补程序,请确认已在 Windows NT Server 4.0 计算机上创建以下注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\310669
  • 若要验证是否已安装此修补程序的文件,请验证 \WINNT\System32\inetsrv\smtpsvc.dll 的版本是否为 5.5.1877.78 或更高版本。

Windows 2000:

  • 若要验证是否已在计算机上安装修补程序,请确认已在 Windows 2000 计算机上创建了以下注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows 2000\SP3\Q313450。
  • 若要验证各个文件,请使用以下注册表项中提供的日期/时间和版本信息:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows 2000\SP3\Q313450\Filelist。

注意:

在 Windows NT 4 选项包修补程序的删除(卸载)期间,卸载程序可能无法重新启动 SMTP 服务。 如果发生这种情况,请手动停止 IIS 管理员istration 服务(NET STOP IISADMIN)。 然后启动 IIS 管理员istration 服务(NET START IISADMIN)和 SMTP 服务(NET START SMTPSVC)。

本地化

此修补程序的本地化版本在“修补程序可用性”中讨论的位置可用。

获取其他安全修补程序:

可从以下位置获取其他安全问题的修补程序:

  • 安全修补程序可从 Microsoft 下载中心获取,可通过执行关键字 (keyword)搜索“security_patch”来轻松找到。
  • WindowsUpdate 网站提供了使用者平台的修补程序。

其他信息:

确认

Microsoft 谢谢

  • BindView 的 RAZOR 团队向我们报告此问题,并与我们合作保护客户。
  • Mario Kuechler 报告 NT Server 4.0 也受到影响。

支持

  • Microsoft 知识库文章Q313450和Q289258讨论此问题,将在发布本公告后大约 24 小时可用。 可以在 Microsoft Online 支持网站上找到知识库文章。
  • Microsoft 产品支持服务提供技术支持。 与安全修补程序关联的支持调用不收取任何费用。

安全资源:Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。

免责声明

Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。

修改:

  • V1.0 (2002 年 2 月 27 日):公告已创建。
  • V2.0(2002 年 3 月 12 日):已更新以反映 MS02-012 和 MS02-011 的 Windows 2000 修补程序相同。
  • V2.1(2003 年 5 月 9 日):更新了指向Windows 更新的下载链接。
  • V3.0 2004 年 4 月 13 日:公告更新为建议 Windows NT Server 4.0 更新的可用性,并建议 Exchange Server 5.0 客户如何更好地保护自己。

生成于 2014-04-18T13:49:36Z-07:00