安全公告

Microsoft 安全公告 MS02-070 - 中等

SMB 签名中的缺陷可能导致组策略修改(329170)

发布时间: 2002 年 12 月 11 日 |更新时间:2003 年 1 月 22 日

版本: 2.0

最初发布: 2002 年 12 月 11 日

更新时间: 2003 年 1 月 22 日

总结

谁应该阅读此公告: 使用 Microsoft® Windows XP 或 Windows® 2000 的系统管理员,后者尤其是在域控制器角色中。

漏洞的影响: 修改组策略。

最大严重性分级: 中等

建议:管理员配置为使用 SMB 签名的 Windows 2000 或 Windows XP 系统应立即安装修补程序。

受影响的软件:

  • Microsoft Windows 2000
  • Microsoft Windows XP

最终用户公告: 此公告的最终用户版本位于: https:

常规信息

技术详细信息

技术说明:

在发布此公告后,它确定修复了消除漏洞的修补程序未包含在 Microsoft Windows XP Service Pack 1 中。 公告已更新以反映此事实,修补程序已更新,以便它在 Windows XP Service Pack 1 系统上安装。 当前运行启用了 SMB 签名的 XP Service Pack 1 的客户应应用修补程序。

服务器消息块(SMB)是 Windows 的所有版本本机支持的协议。 虽然从名义上是文件共享协议,但它也用于其他目的,其中最重要的是将组策略信息从域控制器传播到新登录的系统。 从 Windows 2000 开始,可以通过对会话中的所有数据包进行数字签名来提高 SMB 会话的完整性。 Windows 2000 和 Windows XP 可配置为始终签名、永不签名或仅当对方需要签名时进行签名。

在 Windows 2000 和 Windows XP 中实现 SMB 签名存在缺陷,攻击者可以无提示地降级受影响系统上的 SMB 签名设置。 为此,攻击者需要访问会话协商数据,因为它在客户端和服务器之间交换,并且需要以利用缺陷的方式修改数据。 无论管理员设置的签名策略如何,这都会导致两个系统发送未签名的数据。 降级签名设置后,攻击者可以继续监视会话并更改其中的数据;缺乏签名将阻止通信者检测更改。

尽管可能会利用此漏洞公开任何 SMB 会话来篡改,但最严重的情况将涉及将组策略信息从 Windows 2000 域控制器传播到新登录的网络客户端。 通过执行此操作,攻击者可以采取措施,例如将用户添加到本地管理员istrators 组,或者在系统上安装并运行其选择的代码。

缓解因素:

  • 利用漏洞需要攻击者已经拥有重要的网络访问权限。 在大多数情况下,攻击者需要位于与 SMB 会话中的两个参与者之一相同的网络段。
  • 攻击者需要针对要干扰的每个 SMB 会话单独利用漏洞。
  • 该漏洞不会使攻击者能够在域控制器上更改组策略,只会在流向客户端时对其进行更改。
  • SMB 签名在 Windows 2000 和 Windows XP 上默认处于禁用状态,因为其性能会受到确切影响。 在未启用 SMB 签名的网络上,该漏洞不会带来额外的风险,因为 SMB 数据已容易受到修改。

严重性分级:

产品 Severity
Windows 2000 中等
Windows XP

上述 评估 基于受漏洞影响的系统类型、其典型部署模式以及利用漏洞对它们的影响。 对 Windows XP 系统的威胁低于 Windows 2000 系统,因为利用漏洞的最严重潜在结果(修改域控制器传播的组策略)不适用于 Windows XP,因为它无法在此类功能中提供服务。

漏洞标识符:CAN-2002-1256

测试的版本:

Microsoft 测试了 Windows 2000 和 Windows XP,以评估它们是否受此漏洞的影响。 SMB 签名在早期版本的 Windows 中不可用。

常见问题解答

漏洞的范围是什么?
此漏洞可以提供一种手段,即在现实中可能不受保护的通信通道明显受到加密保护。 在最严重的情况下,利用此漏洞,攻击者可以在从 Windows 2000 域控制器流向新登录的系统时更改安全策略信息,从而能够执行诸如在系统上安装和运行程序等操作。 利用漏洞不仅要求攻击者能够访问网络的通信媒体,而且在网络中具有有利的位置。 此外,攻击者需要针对要修改的每个通信会话单独利用漏洞。

导致漏洞的原因是什么?
由于 SMB 签名函数的 Windows 2000 和 Windows XP 实现中出现错误,因此即使已将其配置为始终需要,也可能导致无法完成签名。

什么是 SMB?
SMB (服务器消息块)是在所有版本的 Windows 中本机支持的文件共享协议。 SMB(及其后续 的通用 Internet 文件系统)使用户和计算机能够有效地查找和访问其他系统上的文件,并处理其中的数据,而不会与其他用户产生冲突。

什么是 SMB 签名?
SMB 签名 是 Windows 2000 和 Windows XP 中提供的一项功能,通过该功能,使用服务器消息块(SMB)协议的所有通信都可以在数据包级别进行数字签名。 通过对数据包进行数字签名,数据包的接收方能够确认其发源点及其真实性,即它们来自预期位置,并且尚未在传输中被篡改。

为什么有人想要对 SMB 流量进行数字签名?
最简单的原因是,用户可能希望确保他或她从中检索的任何文件(例如,网络攻击者尚未在传输过程中更改文件服务器)。 但有一个更紧迫的理由。 Windows 域使用 SMB 传输某些类型的安全相关信息。 例如,当工作站登录到域时,域控制器通过 SMB 将组策略信息发送到工作站。 签名提供了一种方法来确保工作站接收正确的组策略。

如何配置 SMB 签名?
SMB 签名是通过本地策略设置配置的(具体而言,计算机配置\Windows 设置\安全设置\本地策略\安全选项)。 有四个可用设置:两个控制系统在充当客户端时的运行方式,两种设置控制在充当服务器时如何运行。 在每种情况下,系统都可以配置为允许、禁止或要求签名。 Windows 2000 和 Windows XP 启用签名的系统默认值,但不需要它。

实施 SMB 签名的方式有什么问题?
如果系统已配置为要求签名,Windows 2000 和 Windows XP 的响应方式存在缺陷。 根据设计,当 Windows 2000 或 Windows XP 系统与另一个系统建立 SMB 会话时,它将进行协商以确定其他系统的签名要求。 如果其他系统无法或无法满足其需求(例如,如果 Windows XP 系统配置为需要签名,但另一个系统配置为永不对 SMB 数据进行签名),则它应拒绝建立通信通道。 出现安全漏洞的原因是,如果协商信息以特定方式格式不正确,则配置为要求签名的 Windows 2000 或 Windows XP 系统可能会无提示地放弃要求,并且即使本地策略设置,仍参与未签名的通信。

攻击者可以通过此漏洞执行哪些操作?
攻击者可以使用此漏洞在 SMB 会话期间以无提示方式禁用 Windows 2000 或 Windows XP 系统上的 SMB 签名,导致随后传输的数据未签名。 这样,任何可以访问数据的人都可以在传输网络时对其进行修改。 所有 SMB 会话(无论是用于传输文件、组策略还是某些其他信息)都可能会受到漏洞的影响。 但是,在组策略的情况下,它将带来最大的风险,具体而言,Windows 2000 域控制器已配置为要求 SMB 签名,以此确保它下载到域成员的组策略设置的真实性。 通过利用漏洞,然后在从域控制器发送到客户端时更改组策略数据,攻击者可以更改客户端收到的策略设置。

更改组策略设置会有什么影响?
这取决于具体的更改。 但是,组策略是一种强大的技术,通过该技术可以控制 Windows 系统的大部分行为。 例如,组策略可用于更改文件夹和文件的权限、在系统启动时下载和运行程序以及执行其他操作。

攻击者能否使用漏洞获取域的管理权限?
否。 域组成员身份保存在域控制器上,而不是客户端。 更改下载到客户端的组策略不允许攻击者更改其域组成员身份。 另一方面,攻击者可以使用漏洞更改本地计算机上的组成员身份,例如,将用户添加到本地管理员istrators 组。

谁可以利用漏洞?
为了利用该漏洞,攻击者需要拥有大量访问网络上的通信。 他或她需要能够实时监视和修改两个系统之间的通信。 这通常要求攻击者不仅对网络媒体具有物理访问权限,而且需要网络内的有利位置。

什么是“网络内有利位置”?
攻击者无法访问网络媒体是不够的。 在客户端和服务器之间传递时,他或她还必须沿着数据所走的路径定位。 该漏洞无法让攻击者强制通信采用特定路径,因此在大多数情况下,他或她需要位于与两个通信者之一相同的网段上。

攻击者是否可以更改已登录到域的系统上的组策略?
否。 当新系统登录到域时,将有机会实施新策略。 如果攻击者错过了机会,他或她将需要等到系统下次登录时。

一旦永久禁用 SMB 签名,就会利用漏洞吗?
否。 攻击者需要针对要干扰的每个通信会话单独利用漏洞。

攻击者是否可以更改 Windows 2000 域控制器上的组策略?
否。 该漏洞仅允许攻击者更改客户端接收的数据。 它不会提供任何更改数据的方式,因为它驻留在服务器上。

为什么你仅在 Windows 2000 上下文中讨论了域控制器方案?
Windows XP 不能用作域控制器。 因此,此方案(与漏洞关联的风险最高的方案)不适用于 Windows XP。

我听说 Windows XP 客户端可能会无意中触发漏洞。 这是真的吗?
是的。 Windows XP Service Pack 1 包含一个回归错误,该错误将信息添加到它发送的协商信息。 此信息可能会触发漏洞,并导致运行 Windows XP Gold 或 Windows 2000 的系统删除 SMB 签名。 修复可用于消除此回归错误。 了解 Windows XP Service Pack 1 中回归错误的两个关键点非常重要:

  • 回归错误不会对 Windows XP Service Pack 1 系统构成安全威胁。 相反,它会带来可用性风险。 假设 Windows XP SP1 系统和 Windows 2000 域控制器都配置为需要签名。 回归可能导致 Windows 2000 系统降级其签名,Windows XP SP1 系统随后会拒绝该签名。 结果是通信无法发生。
  • 在 Windows XP 中安装回归错误的修补程序不会消除漏洞。 漏洞在于 Windows XP Gold 和 Windows 2000;回归错误只是在某些情况下触发它。 如果将安全修补程序应用到所有需要签名的 Windows XP Gold 和 Windows 2000 系统,则不管是否将回归修复应用于 Windows XP SP1 系统 - 如果网络上没有系统存在漏洞,则不管是否有系统可能会无意触发它。

在前面的问题中,你提及了这个“回归修补程序”,但我仍然不确定我是否需要关注?
简言之,如果你已将本公告中提供的安全修补程序应用于网络上的所有 Windows 2000 和 Windows XP 计算机,则无需担心应用回归修补程序。 仅当客户选择不安装此修补程序或运行 Windows XP Service Pack 1 的服务器角色中进行文件共享并且需要 SMB 签名时,才需要关注应用回归修补程序提及。

为什么此公告中发布的修补程序中不包括“回归修补程序”?
由于 Windows XP Service Pack 1 中引入的回归不是安全漏洞,因此 Microsoft 知识库文章810907中介绍了此不太可能行为的修补程序,可通过 Microsoft 产品支持服务获取。 仅建议直接遇到此问题的客户。 可按照本公告的“其他信息”部分提供的 URL 获取有关如何联系 Microsoft 产品支持服务 的信息。

是否应将修补程序应用到每个 Windows 2000 或 Windows XP 系统?
可以,但只有在配置为需要 SMB 签名的系统或与执行操作的系统通信时安装它才有意义。

SMB 签名是否默认是必需的?
否。 存在与 SMB 签名关联的性能损失,因此,在 Windows 2000 或 Windows XP 的默认配置中不需要它。

我的系统上未启用 SMB 签名。 我是否面临此漏洞的任何风险?
如果未启用 SMB 签名,则由于此漏洞,网络不会增加风险。 也就是说,如果禁用签名,攻击者可能已经修改 SMB 数据流。

修补程序如何解决漏洞?
此修补程序会导致 Windows 2000 和 Windows XP 正确处理包含上述格式不正确的信息类型的协商会话。

修补程序可用性

下载此修补程序的位置

Microsoft Windows 2000:

Microsoft Windows XP:

有关此修补程序的其他信息

安装平台:

  • 可以在运行 Windows 2000 Service Pack 2Service Pack 3 的系统上安装 Windows 2000 修补程序。
  • 可以在运行 Windows XP Gold 或 Windows XP Service Pack 1 的系统上安装 Windows XP 修补程序。

包含在将来的 Service Pack 中:

此问题的修补程序将包含在 Windows 2000 Service Pack 4 和 Windows XP Service Pack 2 中。

需要重新启动:

可以卸载修补程序:

取代的修补程序: 无。

验证修补程序安装:

Windows 2000:

  • 若要验证是否已在计算机上安装修补程序,请确认计算机上已创建以下注册表项:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows 2000\SP4\Q329170

  • 若要验证各个文件,请使用以下注册表项中提供的日期/时间和版本信息:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows 2000\SP4\Q329170\Filelist

Windowsxp:

  • 若要验证是否已在计算机上安装修补程序,请确认计算机上已创建以下注册表项:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows XP\SP1\Q329170

  • 若要验证各个文件,请使用以下注册表项中提供的日期/时间和版本信息:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows XP\SP1\Q329170\Filelist

Windows XP Service Pack 1:

  • 若要验证是否已在计算机上安装修补程序,请确认计算机上已创建以下注册表项:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows XP\SP2\Q329170

  • 若要验证各个文件,请使用以下注册表项中提供的日期/时间和版本信息:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows XP\SP2\Q329170\Filelist

注意:

本地化

此修补程序的本地化版本在“修补程序可用性”中讨论的位置可用。

获取其他安全修补程序:

可从以下位置获取其他安全问题的修补程序:

  • 安全修补程序可从 Microsoft 下载中心获取,可通过执行关键字 (keyword)搜索“security_patch”来轻松找到。
  • WindowsUpdate 网站提供了使用者平台的修补程序

其他信息:

支持

  • Microsoft 知识库文章 329170 讨论此问题,将在发布此公告大约 24 小时后提供。 可以在 Microsoft Online 支持网站上找到知识库文章。
  • Microsoft 产品支持服务提供技术支持。 与安全修补程序关联的支持调用不收取任何费用。

安全资源:Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。

免责声明

Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。

修改:

  • V1.0(2002 年 12 月 11 日):公告已创建。
  • V1.1 (2002 年 12 月 19 日):更新了“验证修补程序安装”部分中的注册表项信息
  • V2.0(2003 年 1 月 22 日):在此公告发布后,确定此处所述的修补程序未包含在 XP Service Pack 1 中。 公告和修补程序已更新,以反映这一点。

构建于 2014-04-18T13:49:36Z-07:00</https:>