Win2008 蓝屏漏洞揭秘

Windows  /  管理员 发布于 5年前   232

9月初，在各大安全网站上登载了一个Windows操作系统的蓝屏漏洞的消息，这个漏洞的出现如同一颗石子，打破了近半年来Windows没有爆出重大漏洞的沉寂。

　　蓝屏漏洞威胁的是服务器操作系统Windows Server 2008，这意味着如果Windows Server 2008蓝屏，将导致服务器停止服务……目前，漏洞的利用代码还限制在小范围内，不过漏洞攻击工具却已经研制出来了，现在为大家揭秘蓝屏漏洞的利用过程。

　　问题： Windows Server 2008蓝屏漏洞

　　危害： 服务器出现蓝屏停止服务

　　危机：服务器的蓝屏隐痛

　　我是安天实验室的苗得雨，我下面给大家说的就是蓝屏漏洞。蓝屏漏洞的正式名称是SMB v2漏洞，到截稿为止该漏洞还没有补丁(预计10月第二个星期出补丁)。蓝屏漏洞的危害到底有多大?对我们普通网民会带来危害吗?蓝屏漏洞主要威胁的是使用Windows Server 2008的服务器，对Vista系统也有一定的影响。不过现在的黑客都变得务实起来，不会对市场份额尴尬的Vista系统感兴趣。

　　使用Windows Server 2008作为服务器操作系统的，是邮件服务器、网站服务器、数据服务器、域名服务器等。一旦服务器蓝屏了，管理员很可能不会第一时间知道――因为很多服务器都没有配专用的显示器，服务器就会在一段时间内停止服务。

　　如果是网站服务器停止服务了，服务器上的所有网站都无法访问;如果是邮件服务器停止服务了，邮件就不能中转发送;如果是数据服务器停止服务了，可能会导致数据支持的系统崩溃，例如网游、网银等系统;如果是域名服务器停止服务了，“断网门”可能再次上演。

　　2007年，微软发布了替换Windows Server 2003的新一代服务器操作系统Windows Server 2008，该系统支持多核处理器，拥有64-bit技术、虚拟化以及优化的电源管理等功能，吸引了许多企业用户将服务器操作系统更换为该系统。

　　据市场调研机构Gartner提供的数据显示，在2007年全球发货的服务器中，Windows服务器的份额已经增长到66.8%，其中Windows Server 2008占了主流。在2008年~2009年，Windows Server 2008成为微软的主打产品之一，份额呈现上升趋势。根据以上数据测算，全球大约有五分之一的服务器使用的操作系统是Windows Server 2008。

　　原理：SMB溢出

　　这次导致蓝屏漏洞出现的原因，是一个名为SRV2.SYS的驱动文件不能正确地处理畸形数据结构请求。如果黑客恶意构造一个恶意畸形的数据报文发送给安装有Windows Server 2008的服务器，那么就会触发越界内存引用行为，让黑客可以执行任意的恶意代码(图1)。