Microsoft 資訊安全公告 MS15-083 - 重要
伺服器訊息區中的弱點可能會允許遠端執行程式碼 (3073921)
發行日期:2015 年 8 月 11 日 | 更新日期:2015 年 9 月 8 日
版本: 2.0
提要
此安全性更新可解決 Microsoft Windows 中的弱點。如果攻擊者傳送蓄意製作的字串到 SMB 伺服器錯誤記錄,這項弱點可允許遠端執行程式碼。
對於所有受支援版本的 Windows Server 2008,此資訊安全更新的等級為「重要」。如需更多資訊,請參閱**<受影響的軟體>**一節。
此安全性更新會修正某些記錄活動以排除記憶體損毀,因而消除了這項弱點。如需有關此弱點的詳細資訊,請參閱<弱點資訊>一節。
如需有關此更新的詳細資訊,請參閱 Microsoft 知識庫文章 3073921。
受影響的軟體
下列軟體版號或版本會受到影響。未列出的版號或版本不是超出支援週期就是不受影響。若要瞭解您的軟體版本的支援週期,請參閱 Microsoft 產品技術支援週期網站。
| **作業系統** | **最大資訊安全影響** | **彙總嚴重性等級** | **已取代更新**\* |
| **Windows Vista** | |||
| [Windows Vista Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=48332) (3073921) | 遠端執行程式碼 | 重要 | [MS10-012](https://technet.microsoft.com/zh-tw/library/security/ms10-012) 中的 971468 |
| [Windows Vista x64 Edition Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=48388) (3073921) | 遠端執行程式碼 | 重要 | [MS10-012](https://technet.microsoft.com/zh-tw/library/security/ms10-012) 中的 971468 |
| **Windows Server 2008** | |||
| [32 位元系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=48333) (3073921) | 遠端執行程式碼 | 重要 | [MS10-012](https://technet.microsoft.com/zh-tw/library/security/ms10-012) 中的 971468 |
| [適用於 x64 型系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=48365) (3073921) | 遠端執行程式碼 | 重要 | [MS10-012](https://technet.microsoft.com/zh-tw/library/security/ms10-012) 中的 971468 |
| [Itanium 系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=63de759c-afac-4a6d-925f-aaeba7aaf84c) (3073921) | 遠端執行程式碼 | 重要 | [MS10-012](https://technet.microsoft.com/zh-tw/library/security/ms10-012) 中的 971468 |
| **Server Core 安裝選項** | |||
| [適用於 32 位元系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=48333) (Server Core 安裝) (3073921) | 遠端執行程式碼 | 重要 | [MS10-012](https://technet.microsoft.com/zh-tw/library/security/ms10-012) 中的 971468 |
| [適用於 x64 型系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=48365) (Server Core 安裝) (3073921) | 遠端執行程式碼 | 重要 | [MS10-012](https://technet.microsoft.com/zh-tw/library/security/ms10-012) 中的 971468 |
嚴重性等級和弱點識別碼
下列嚴重性等級是假設弱點可能造成的最嚴重影響而評定。在本安全性公告發行的 30 天內,如需弱點之易遭利用性與嚴重性等級和安全性影響之間對應關係的資訊,請參閱 8 月份公告摘要中的<弱點索引>。
| **依受影響軟體列出的弱點嚴重性等級和最大安全性影響** | ||
| **受影響的軟體** | [**伺服器訊息區記憶體損毀弱點 - CVE-2015-2474**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2474) | **彙總嚴重性等級** |
| **Windows Vista** | ||
| Windows Vista Service Pack 2 (3073921) | **重要** 遠端執行程式碼 | **重要** |
| Windows Vista x64 Edition Service Pack 2 (3073921) | **重要** 遠端執行程式碼 | **重要** |
| **Windows Server 2008** | ||
| 32 位元系統的 Windows Server 2008 Service Pack 2 (3073921) | **重要** 遠端執行程式碼 | **重要** |
| 適用於 x64 型系統的 Windows Server 2008 Service Pack 2 (3073921) | **重要** 遠端執行程式碼 | **重要** |
| Itanium 系統的 Windows Server 2008 Service Pack 2 (3073921) | **重要** 遠端執行程式碼 | **重要** |
| **Server Core 安裝選項** | ||
| 適用於 32 位元系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝) (3073921) | **重要** 遠端執行程式碼 | **重要** |
| 適用於 x64 型系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝) (3073921) | **重要** 遠端執行程式碼 | **重要** |
弱點資訊
伺服器訊息區記憶體損毀弱點 - CVE-2015-2474
當伺服器訊息區 (SMB) 不當處理某些記錄活動,因而導致記憶體毀損時,會導致 Windows 出現經過驗證的遠端執行程式碼弱點。成功利用此弱點的攻擊者可以取得受影響系統的完整控制權。攻擊者接下來將能安裝程式,檢視、變更或刪除資料,或建立具有完整使用者權限的新帳戶。
在攻擊案例中,攻擊者擁有有效認證,並且會傳送蓄意製作的字串到 SMB 伺服器錯誤記錄
此更新會修正某些記錄活動以排除記憶體損毀,因而消除了這項弱點。Microsoft 是經由協同合作的來源接獲有關此弱點的訊息。本資訊安全公告發行時,Microsoft 尚未接到任何有關本弱點已公開用來攻擊客戶的消息。
緩和因素
Microsoft 尚未找到此項弱點的任何緩和因素。
因應措施
下列因應措施可能對您的狀況有所助益:
停用 SMBv1
方法 1 (使用 PowerShell):
在含有 PowerShell 2.0 或更新版本的 Windows Vista 和 Windows Server 2008 上,您可以執行以下 PowerShell 命令:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force。重新啟動系統。
方法 2 (使用管理的部署指令碼):
建立名稱為 SMBv1-disable.reg 的文字檔,且要包含下列文字:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters] "SMB1"=dword:00000000執行 regedit.exe。
在「登錄編輯程式」中,按一下 [檔案] 功能表上的 [匯入]。
瀏覽至您在第一個步驟中建立的 SMBv1-disable.reg 檔案,並將其選取。 (注意 如果您的檔案未列於您預期的位置,請確認檔案並未自動指定為 .txt 檔案副檔名,或將對話的檔案副檔名參數變更為所有檔案)。
按一下 [開啟],然後按一下 [確定] 關閉登錄編輯程式。
重新啟動系統。
**因應措施的影響。**SMB 可能無法正常運作。
如何復原因應措施。
方法 1 (使用 PowerShell):
在含有 PowerShell 2.0 或更新版本的 Windows Vista 和 Windows Server 2008 上,您可以執行以下 PowerShell 命令:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 –Force。重新啟動系統。
方法 2 (使用管理的部署指令碼):
建立名稱為 SMBv1-enable.reg 的文字檔,且要包含下列文字:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters] "SMB1"=dword:00000001執行 regedit.exe。
在「登錄編輯程式」中,按一下 [檔案] 功能表上的 [匯入]。
瀏覽至您在第一個步驟中建立的 SMBv1-enable.reg 檔案,並將其選取。 (注意 如果您的檔案未列於您預期的位置,請確認檔案並未自動指定為 .txt 檔案副檔名,或將對話的檔案副檔名參數變更為所有檔案)。
按一下 [開啟],然後按一下 [確定] 關閉登錄編輯程式。
重新啟動系統。
停用 SMB 中的驗證擴充保護
注意 在設定任何強化模式之前,請參閱下列 MSDN 文章:驗證擴充保護概觀 (英文)
按一下 [開始],按一下 [執行],在 [開啟] 方塊中輸入 Regedit,然後按一下 [確定]。
瀏覽至以下登錄位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters在 [編輯] 功能表上,選取 [新增],然後按一下 [DWORD 值]。
輸入 "SmbServerNameHardeningLevel",然後按 Enter。
在 [編輯] 功能表上,按一下 [修改]。
將 SmbServerNameHardeningLevel 的值設定為 0,然後按一下 [確定]。
結束登錄編輯程式,再重新啟動系統。
**因應措施的影響。**SMB 可能無法正常運作。
如何復原因應措施。
按一下 [開始],按一下 [執行],在 [開啟] 方塊中輸入 Regedit,然後按一下 [確定]。
瀏覽至以下登錄位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters選取 "SmbServerNameHardeningLevel",然後按 Enter。
在 [編輯] 功能表上,按一下 [刪除],然後按一下 [是]。
結束登錄編輯程式,再重新啟動系統。
安全性更新部署
如需安全性更新部署資訊,請在這裡參閱<提要>中的 Microsoft 知識庫文章。
致謝
Microsoft 了解資訊安全業界所做的努力,其盡責地透露弱點來協助我們保護客戶。請參閱致謝 (英文) 以取得詳細資訊。
免責聲明
Microsoft 知識庫 (Microsoft Knowledge Base) 中的資訊係以其「現狀」提供,並不提供任何形式之擔保。Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。
修訂
- V1.0 (2015 年 8 月 11 日):公告發行。
- V2.0 (2015 年 9 月 8 日):為了全面解決 CVE-2015-2472,Microsoft 針對 Windows Vista 和 Windows Server 2008 受到影響的版本重新發行安全性更新 3073921。執行 Windows Vista 或 Windows Server 2008 並已於之前安裝該更新的客戶應重新安裝更新,以完全地避免受到弱點影響。如需更多資訊,請參閱 Microsoft 知識庫文章編號 3073921。
頁面產生時間:08.09.2015 г. 上午 09:23:00-07:00。