MS08-067漏洞简谈与利用

admin • 2021-11-12 21:35 • 安全

MS08-067漏洞将会影响除Windows Server 2008 Core以外的所有Windows系统，包括：Windows 2000/XP/Server 2003/Vista/Server 2008的各个版本，甚至还包括测试阶段的Windows 7 Pro-Beta。

说明：微软安全公告KB958644

漏洞影响：服务器服务中的漏洞可能允许远程执行代码

发布日期：2008/10/22

下载大小：因操作系统而异。

受影响的操作系统： Windows 2000;XP;Server 2003;Vista;Server 2008;7 Beta

摘要

此安全更新解决了服务器服务中一个秘密报告的漏洞。如果用户在受影响的系统上收到特制的 RPC 请求，则该漏洞可能允许远程执行代码。在 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 系统上，攻击者可能未经身份验证即可利用此漏洞运行任意代码。此漏洞可能用于进行蠕虫攻击。防火墙最佳做法和标准的默认防火墙配置有助于保护网络资源免受从企业外部发起的攻击。可以通过安装本 Microsoft 更新程序来保护计算机不受侵害。安装后，可能必须重新启动计算机。

严重等级：Windows 2000;XP;Server 2003为严重，Windows Vista;Server 2008;7 Beta为重要。

KB958644：

2008年最大的安全漏洞(KB958644)，影响Windows几乎所有主流操作系统。黑客可以利用此漏洞发动大规模远程攻击。

2008年10月24日下午消息，微软多款操作系统曝出2008年最大的安全漏洞(KB958644)，影响包括Windows XP SP3、Windows 2000、Windows Server 2003、Windows Vista等几乎所有主流操作系统。黑客可以利用此漏洞发动大规模远程攻击，实际效果可与“冲击波”、“震荡波”等病毒类似。

据安全专家表示，尽管微软已经发布了该漏洞的补丁，但由于“黑屏”事件的影响，很多用户已经关闭了系统的补丁自动更新功能，因此很可能造成严重危害。

安全专家表示，该漏洞存在于操作系统的RPC模块，如果用户的计算机收到了特制的RPC请求，则攻击者可以绕过系统的认证远程运行任意代码。当初“冲击波”、“震荡波”病毒利用的同样是RPC漏洞，因此该漏洞很可能造成类似的大规模蠕虫攻击。

专家建议，对于个人用户来讲，最好给计算机打好所有补丁，打好补丁之后即可防御此类蠕虫攻击；企业用户应该对自己的服务器和防火墙进行相应的防范性配置，以免该漏洞影响自己的正常工作。

在开机后可能会出现多次“Generic Host Process for Win32 Services 遇到问题需要关闭”的错误；

在系统运行过程中会出现多次 “svchost.exe应用程序错误0x7ffa0eb8指令引用的0x7ffa0eb8内存。该内存不能为written。”

如果是局域网内的用户在出现“多次“Generic Host Process for Win32 Services 遇到问题需要关闭”的错误”时，很有可能也进不去内部网server的，且完整的计算机名后面的网域后缀名也会消失。

Windows操作系统的安全性再次受到严峻挑战！2008年10月24日凌晨，微软紧急发布了一项重要的安全更新（KB958644），涉及Windows2000/XP/Vista等桌面操作系统的绝大多数版本。其危害程度毫不逊于当年波及80%以上Windows用户的“冲击波”病毒。

微软公告称，黑客可以利用该漏洞向网络中的电脑发出远程的特制RPC请求，无需身份验证便可在电脑中任意执行远程代码。这就是说，即便你的电脑设置了管理员密码，也只能任由黑客摆布。

网上已出现了利用该漏洞的蠕虫病毒(Win32/MS08067.gen!A)。据安全专家分析，这一漏洞的危害极为严重，黑客仅根据IP地址便可随意发起攻击，简直是“指哪打哪”，而且感染性非常强，只要远程执行一段下载恶意程序的代码，不但能随意弹出广告、盗取用户账号，还可以控制本机进而攻击其他用户，使破坏力持续放大，局域网的用户一旦有一个中招病毒就会迅速扩散。

据悉，这是微软近一年半以来首次打破每月定期安全公告的惯例而发布更新。唯一的解决方案便是为系统打好KB958644补丁。

接下来我们开始利用这个漏洞进行本地测试

首先准备好靶机和漏洞利用工具

我这里使用的是windowsXP的靶机系统和kalilinux渗透测试系统

我们要让他们两台机器都在一个网段中

kalilinux的ip地址