9,506
社区成员
发帖
与我相关
我的任务
分享【安全技术】 了解LSASS漏洞
LSASS 漏洞 - CAN-2003-0533 的常见问题解答:
此漏洞的影响范围有多大?
这是一个缓冲区溢出漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统,其中包括:安装程序;查看、更改或删除数据;或者创建拥有完全权限的新帐户等。
此漏洞因何而起?
LSASS 服务中未经检查的缓冲区。
什么是 LSASS?
本地安全验证子系统服务 (LSASS) 提供了一个用于管理本地安全、域身份验证和 Active Directory 进程的接口。它处理客户端和服务器的身份验证。它还包含一些用于支持 Active Directory 实用程序的功能。
攻击者可能利用此漏洞执行什么操作?
成功利用此漏洞的攻击者可以完全控制受影响的系统。
哪些人可能利用此漏洞?
在 Windows 2000 和 Windows XP 上,任何可向受影响的系统传送特制消息的匿名用户都有可能尝试利用此漏洞。
攻击者能够如何利用此漏洞?
攻击者可以通过下面这种方式利用此漏洞:创建一个特制消息,并将该消息发送到受影响的系统,这样就可能导致受影响的系统执行代码。
攻击者还可以通过其他媒介访问受影响的组件。例如,攻击者可以通过交互方式登录到系统,或者通过使用其他程序将参数传递给容易受到攻击的组件(本地或远程)的方式登录到系统。
受此漏洞威胁最大的系统是哪些?
Windows Server 2003 和 Windows XP 64-Bit Edition Version 2003 提供了额外的保护,只有以管理员身份在本地登录到受影响的系统才能利用此漏洞。
此漏洞的影响范围有多大?
这是一个缓冲区溢出漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统,其中包括:安装程序;查看、更改或删除数据;或者创建拥有完全权限的新帐户等。
此漏洞因何而起?
LSASS 服务中未经检查的缓冲区。
什么是 LSASS?
本地安全验证子系统服务 (LSASS) 提供了一个用于管理本地安全、域身份验证和 Active Directory 进程的接口。它处理客户端和服务器的身份验证。它还包含一些用于支持 Active Directory 实用程序的功能。
攻击者可能利用此漏洞执行什么操作?
成功利用此漏洞的攻击者可以完全控制受影响的系统。
哪些人可能利用此漏洞?
在 Windows 2000 和 Windows XP 上,任何可向受影响的系统传送特制消息的匿名用户都有可能尝试利用此漏洞。
攻击者能够如何利用此漏洞?
攻击者可以通过下面这种方式利用此漏洞:创建一个特制消息,并将该消息发送到受影响的系统,这样就可能导致受影响的系统执行代码。
攻击者还可以通过其他媒介访问受影响的组件。例如,攻击者可以通过交互方式登录到系统,或者通过使用其他程序将参数传递给容易受到攻击的组件(本地或远程)的方式登录到系统。
受此漏洞威胁最大的系统是哪些?
Windows Server 2003 和 Windows XP 64-Bit Edition Version 2003 提供了额外的保护,只有以管理员身份在本地登录到受影响的系统才能利用此漏洞。
...全文
请发表友善的回复…
发表回复
shenhai800 2005-08-05
- 打赏
- 举报
mark
vividboy 2005-03-27
- 打赏
- 举报
up
prettyjerry 2004-10-14
- 打赏
- 举报
upupup
Erlei 2004-09-28
- 打赏
- 举报
学到了很多东西
lCUC88 2004-09-24
- 打赏
- 举报
good
xjp6688 2004-09-07
- 打赏
- 举报
学习
wojiaren 2004-09-06
- 打赏
- 举报
huhu~~~~~~~~~
programfanny 2004-09-06
- 打赏
- 举报
Mark
hc0007 2004-09-06
- 打赏
- 举报
最好的解决办法,打上补丁即可
i33333 2004-09-05
- 打赏
- 举报
mark
凤凰 2004-09-05
- 打赏
- 举报
Sasser(A-F) 蠕虫移除工具 (KB841720)
这个工具可以帮助您从受影响的计算机里面移除 Sasser(A-F) 蠕虫。
快速信息
文件名称: Windows-KB841720-ENU-V4.exe
文件大小: 114 KB
上传日期: 5/11/2004
版本: 4.0
概述
安装这个工具将帮助你删除你计算机上的Sasser(A-F) 蠕虫病毒。在最终用户许可条例被接受之后,只要您运行该工具,该工具就会自动检查您的电脑是否受到影响并且会移除掉所有被发现的蠕虫。
当运行这个工具时,会有一个信息提示和进度窗口出现。
您可以在运行这个工具后,安全的从系统中删除这个工具。
这个工具会在%WINDIR%\debug文件夹生成一个记录文件sasscln.log
该工具:
不能检测或者移除除了Sasser(A-F)以外的其它任何病毒
不能检测或者移除日后Sasser其它种类病毒
不能在Windows 95, Windows 98, Windows ME, 或者 Windows NT 4.0的任何版本上运行
使用该工具的必须是管理员身份。
发布历史:
1.0 版本 2004年5月2日发布 检测和移除Sasser.A 和 Sasser.B
2.0 版本 2004年5月4日发布 增加了检测和移除Sasser.C 和 Sasser.D
3.0 版本 2004年5月9日发布 增加了检测和移除Sasser.E
4.0 版本 2004年5月11日发布 增加了检测和移除Sasser.F
系统需求
支持的操作系统: Windows 2000, Windows XP
下载地址:
http://download.microsoft.com/download/1/e/b/1eba8a6e-a22a-431f-9df4-a0cd2873e3c5/Windows-KB841720-ENU-V4.exe
这个工具可以帮助您从受影响的计算机里面移除 Sasser(A-F) 蠕虫。
快速信息
文件名称: Windows-KB841720-ENU-V4.exe
文件大小: 114 KB
上传日期: 5/11/2004
版本: 4.0
概述
安装这个工具将帮助你删除你计算机上的Sasser(A-F) 蠕虫病毒。在最终用户许可条例被接受之后,只要您运行该工具,该工具就会自动检查您的电脑是否受到影响并且会移除掉所有被发现的蠕虫。
当运行这个工具时,会有一个信息提示和进度窗口出现。
您可以在运行这个工具后,安全的从系统中删除这个工具。
这个工具会在%WINDIR%\debug文件夹生成一个记录文件sasscln.log
该工具:
不能检测或者移除除了Sasser(A-F)以外的其它任何病毒
不能检测或者移除日后Sasser其它种类病毒
不能在Windows 95, Windows 98, Windows ME, 或者 Windows NT 4.0的任何版本上运行
使用该工具的必须是管理员身份。
发布历史:
1.0 版本 2004年5月2日发布 检测和移除Sasser.A 和 Sasser.B
2.0 版本 2004年5月4日发布 增加了检测和移除Sasser.C 和 Sasser.D
3.0 版本 2004年5月9日发布 增加了检测和移除Sasser.E
4.0 版本 2004年5月11日发布 增加了检测和移除Sasser.F
系统需求
支持的操作系统: Windows 2000, Windows XP
下载地址:
http://download.microsoft.com/download/1/e/b/1eba8a6e-a22a-431f-9df4-a0cd2873e3c5/Windows-KB841720-ENU-V4.exe
凤凰 2004-09-05
- 打赏
- 举报
Windows XP /2000 用户:计算机感染震荡波 (Sasser) 蠕虫时应采取的措施
发布日期:2004 年 5 月 4 日
立即将本页面打印出来,为您自己提供相关说明(如果您的计算机持续关机),或者用来帮助您的朋友。
如果您使用的是 Microsoft® Windows® XP 或 Windows XP Service Pack 1 (SP1) 并且您的计算机感染了震荡波蠕虫病毒,则可以采取这些措施来更新您的软件、移除蠕虫病毒并使您免于以后再被感染。
第 1 步:断开 Internet 连接
为了避免出现更多问题,请断开 Internet 连接:
宽带连接用户: 确定连接外置 DSL 或电缆调制解调器的电缆位置,然后从调制解调器或电话线插孔将该电缆拔下。
拨号连接用户:确定连接计算机内置调制解调器与电话线插孔的电缆位置,然后从电话线插孔或从计算机将该电缆拔下。
第 2 步:终止关机周期
此蠕虫会导致 LSASS.EXE 停止响应,此程序使操作系统在 60 秒钟后强行关机。 如果您的计算机开始关机,请按照这些步骤中断可能处于运行状态的任意系统关机进程。
在屏幕底部的任务栏上单击“开始”,然后单击“运行”。
键入“cmd”,然后单击“确定”。
在命令提示符下,键入“shutdown.exe -a”,然后按 ENTER。
第 3 步:减轻漏洞隐患
您可以通过创建日志文件来暂时消除令蠕虫病毒可通过其侵入计算机的漏洞。
创建日志文件
在屏幕底部的任务栏上单击“开始”,然后单击“运行”。
键入“cmd”,然后单击“确定”。
在命令提示符下键入“ echo dcpromo >%systemroot%\debug\dcpromo.log ”,然后按 ENTER。
将日志文件设置为只读属性
在命令提示符下键入“attrib +R %systemroot%\debug\dcpromo.log”,然后按 ENTER。
第 4 步:改善系统性能
如果您的计算机反应迟缓或者 Internet 连接速度过慢,则说明蠕虫病毒可能已经在您的局域网连接内扩散。 这会使您无法下载并安装所需的软件更新。 要改善系统性能:
按 CTRL+ALT+DELETE,然后单击“任务管理器”。
对于以下可能列出的每个任务,单击并选中该任务,然后单击“结束任务”按钮,将其结束。
任意以_up.exe 结尾的任务(例如 12345_up.exe)。
任意以avserve 开头的任务(例如 avserve.exe)。
任意以avserve2 开头的任务(例如 avserve2.exe)。
任意以skynetave 开头的任务(例如 skynetave.exe)。
hkey.exe
msiwin84.exe
wmiprvsw.exe
注意:切勿结束 wmiprvse.exe 任务;这是一个合法的系统任务。
第 5 步:启用防火墙
防火墙是一个软件或硬件,能够在计算机和 Internet 之间构筑一道保护屏障。 如果您的计算机已感染病毒,防火墙将有助于限制蠕虫的影响。 Windows XP 包含 Internet 连接防火墙 (ICF)。 要打开 ICF:
在屏幕底部的任务栏上单击“开始”,然后单击“控制面板”。
单击“网络与 Internet 连接”。
(如果未显示“网络与 Internet 连接”,请单击“控制面板”窗口左侧“控制面板”中的“切换到分类视图”。)
单击“网络连接”。
右键单击用于连接至 Internet 的拨号、LAN 或高速 Internet 连接 ,然后单击快捷菜单中的“属性”。
在“Internet 连接防火墙”的“高级”选项卡上,选择“保护我的计算机和网络”,然后单击“确定”。 现在,您便已开始启用 Windows XP 防火墙。
第 6 步:重新连接 Internet
将电缆(参阅第 1 步)重新接回计算机、电话线插孔或调制解调器。
第 7 步:安装所需的更新
要使以后您的计算机不受此蠕虫病毒的感染,您必须下载并安装安全更新 835732,此更新以 Microsoft 安全公告 MS04-011 发布。 要下载安全更新 835732,请转到 http://go.microsoft.com/?LinkID=526067
第 8 步:检查并移除震荡波蠕虫
在完成安装更新并重新启动计算机后,转到网页 http://www.microsoft.com/china/technet/security/incident/sasser.asp 上的“What You Should Know About the Sasser Worm and Its Variants”(对于震荡波蠕虫及其变体您应该了解的信息)。 使用震荡波蠕虫移除工具搜索您的硬盘并移除 Sasser.A、Sasser.B、Sasser.C 和 Sasser.D。
关于 Internet 连接防火墙
Windows XP Internet 连接防火墙能够屏蔽有用的任务,如通过网络共享文件或打印机,在应用程序中传输文件或多人联机游戏等。 虽然如此,Microsoft 建议您使用防火墙来保护您的计算机。
如果您打开了 Internet 连接防火墙,但发现您无法执行某些需要执行的任务,请阅读 http://www.microsoft.com/china/security/protect/ports.asp 上的“How to Open Ports in the Windows XP Internet Connection Firewall”(如何打开 Windows XP Internet 连接防火墙中的端口)。
如果您有多台计算机、需要更多技术信息或希望了解更多有关防火墙的信息,请阅读 http://www.microsoft.com/china/security/protect/firewall.asp 上的“Frequently Asked Questions About Firewalls”(有关防火墙的常见问题解答)。
发布日期:2004 年 5 月 4 日
立即将本页面打印出来,为您自己提供相关说明(如果您的计算机持续关机),或者用来帮助您的朋友。
如果您使用的是 Microsoft® Windows® XP 或 Windows XP Service Pack 1 (SP1) 并且您的计算机感染了震荡波蠕虫病毒,则可以采取这些措施来更新您的软件、移除蠕虫病毒并使您免于以后再被感染。
第 1 步:断开 Internet 连接
为了避免出现更多问题,请断开 Internet 连接:
宽带连接用户: 确定连接外置 DSL 或电缆调制解调器的电缆位置,然后从调制解调器或电话线插孔将该电缆拔下。
拨号连接用户:确定连接计算机内置调制解调器与电话线插孔的电缆位置,然后从电话线插孔或从计算机将该电缆拔下。
第 2 步:终止关机周期
此蠕虫会导致 LSASS.EXE 停止响应,此程序使操作系统在 60 秒钟后强行关机。 如果您的计算机开始关机,请按照这些步骤中断可能处于运行状态的任意系统关机进程。
在屏幕底部的任务栏上单击“开始”,然后单击“运行”。
键入“cmd”,然后单击“确定”。
在命令提示符下,键入“shutdown.exe -a”,然后按 ENTER。
第 3 步:减轻漏洞隐患
您可以通过创建日志文件来暂时消除令蠕虫病毒可通过其侵入计算机的漏洞。
创建日志文件
在屏幕底部的任务栏上单击“开始”,然后单击“运行”。
键入“cmd”,然后单击“确定”。
在命令提示符下键入“ echo dcpromo >%systemroot%\debug\dcpromo.log ”,然后按 ENTER。
将日志文件设置为只读属性
在命令提示符下键入“attrib +R %systemroot%\debug\dcpromo.log”,然后按 ENTER。
第 4 步:改善系统性能
如果您的计算机反应迟缓或者 Internet 连接速度过慢,则说明蠕虫病毒可能已经在您的局域网连接内扩散。 这会使您无法下载并安装所需的软件更新。 要改善系统性能:
按 CTRL+ALT+DELETE,然后单击“任务管理器”。
对于以下可能列出的每个任务,单击并选中该任务,然后单击“结束任务”按钮,将其结束。
任意以_up.exe 结尾的任务(例如 12345_up.exe)。
任意以avserve 开头的任务(例如 avserve.exe)。
任意以avserve2 开头的任务(例如 avserve2.exe)。
任意以skynetave 开头的任务(例如 skynetave.exe)。
hkey.exe
msiwin84.exe
wmiprvsw.exe
注意:切勿结束 wmiprvse.exe 任务;这是一个合法的系统任务。
第 5 步:启用防火墙
防火墙是一个软件或硬件,能够在计算机和 Internet 之间构筑一道保护屏障。 如果您的计算机已感染病毒,防火墙将有助于限制蠕虫的影响。 Windows XP 包含 Internet 连接防火墙 (ICF)。 要打开 ICF:
在屏幕底部的任务栏上单击“开始”,然后单击“控制面板”。
单击“网络与 Internet 连接”。
(如果未显示“网络与 Internet 连接”,请单击“控制面板”窗口左侧“控制面板”中的“切换到分类视图”。)
单击“网络连接”。
右键单击用于连接至 Internet 的拨号、LAN 或高速 Internet 连接 ,然后单击快捷菜单中的“属性”。
在“Internet 连接防火墙”的“高级”选项卡上,选择“保护我的计算机和网络”,然后单击“确定”。 现在,您便已开始启用 Windows XP 防火墙。
第 6 步:重新连接 Internet
将电缆(参阅第 1 步)重新接回计算机、电话线插孔或调制解调器。
第 7 步:安装所需的更新
要使以后您的计算机不受此蠕虫病毒的感染,您必须下载并安装安全更新 835732,此更新以 Microsoft 安全公告 MS04-011 发布。 要下载安全更新 835732,请转到 http://go.microsoft.com/?LinkID=526067
第 8 步:检查并移除震荡波蠕虫
在完成安装更新并重新启动计算机后,转到网页 http://www.microsoft.com/china/technet/security/incident/sasser.asp 上的“What You Should Know About the Sasser Worm and Its Variants”(对于震荡波蠕虫及其变体您应该了解的信息)。 使用震荡波蠕虫移除工具搜索您的硬盘并移除 Sasser.A、Sasser.B、Sasser.C 和 Sasser.D。
关于 Internet 连接防火墙
Windows XP Internet 连接防火墙能够屏蔽有用的任务,如通过网络共享文件或打印机,在应用程序中传输文件或多人联机游戏等。 虽然如此,Microsoft 建议您使用防火墙来保护您的计算机。
如果您打开了 Internet 连接防火墙,但发现您无法执行某些需要执行的任务,请阅读 http://www.microsoft.com/china/security/protect/ports.asp 上的“How to Open Ports in the Windows XP Internet Connection Firewall”(如何打开 Windows XP Internet 连接防火墙中的端口)。
如果您有多台计算机、需要更多技术信息或希望了解更多有关防火墙的信息,请阅读 http://www.microsoft.com/china/security/protect/firewall.asp 上的“Frequently Asked Questions About Firewalls”(有关防火墙的常见问题解答)。
凤凰 2004-09-05
- 打赏
- 举报
LSASS 漏洞 - CAN-2003-0533 的变通办法:
Microsoft 已测试过以下变通办法。虽然这些变通办法不会从根本上消除漏洞,但它们有助于阻塞已知的攻击媒介。如果某种变通办法会导致功能下降,将在下面进行说明。
• 使用个人防火墙,如 Internet 连接防火墙,该防火墙包含在 Windows XP 和 Windows Server 2003 中。
如果使用 Windows XP 或 Windows Server 2003 中的 Internet 连接防火墙功能来帮助保护 Internet 连接,该防火墙在默认情况下阻塞非法入站通信。Microsoft 建议您阻塞所有来自 Internet 的非法入站通信。
要使用网络安装向导启用 Internet 连接防火墙功能,请按照以下步骤进行操作:
1. 单击"开始",然后单击"控制面板"。
2. 在默认的"分类视图"中,单击"网络和 Internet 连接",然后单击"设置或更改您的家庭或小型办公网络"。在"网络安装向导"中将系统配置为直接连接至 Internet 后,就启用了 Internet 连接防火墙功能。
要为连接手动配置 Internet 连接防火墙,请按照以下步骤进行操作:
1. 单击"开始",然后单击"控制面板"。
2. 在默认的"分类视图"中,单击"网络和 Internet 连接",然后单击"网络连接"。
3. 右键单击要启用"Internet 连接防火墙"的连接,然后单击"属性"。
4. 单击"高级"选项卡。
5. 单击以选中"通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机或网络"复选框,然后单击"确定"。
注意 :如果想通过防火墙启用某些程序和服务,请单击"高级"选项卡上的"设置",然后选择所需的程序、协议和服务。
• 在防火墙处阻塞以下内容:
• UDP 端口 135、137、 138、445;TCP 端口 135、139、445、593
• 端口号大于 1024 的端口上的所有非法入站通信
• 任何其他特殊配置的 RPC 端口
这些端口用于启动与 RPC 的连接。将其阻塞在防火墙处,有助于保护位于防火墙后面的系统免受利用此漏洞进行的攻击。此外,还要确保阻塞远程系统上任何其他特殊配置的 PRC 端口。Microsoft 建议阻塞所有来自 Internet 的未经请求的入站通信,以帮助阻止可能使用其他端口进行的攻击。有关 PRC 使用的端口的更多信息,请访问以下 Web 站点。
• 在支持高级 TCP/IP 筛选功能的系统上启用此功能。
可以启用高级 TCP/IP 筛选功能来阻塞所有非法入站通信。有关如何配置 TCP/IP 筛选功能的更多信息,请参见 Microsoft 知识库文章309798。
• 在受影响的系统上使用 IPSec来阻塞受影响的端口。
使用 Internet 协议安全 (IPSec) 有助于保护网络通信。有关 IPSec 以及如何应用筛选器的详细信息,请参见 Microsoft 知识库文章 313190 和 813878。
Microsoft 已测试过以下变通办法。虽然这些变通办法不会从根本上消除漏洞,但它们有助于阻塞已知的攻击媒介。如果某种变通办法会导致功能下降,将在下面进行说明。
• 使用个人防火墙,如 Internet 连接防火墙,该防火墙包含在 Windows XP 和 Windows Server 2003 中。
如果使用 Windows XP 或 Windows Server 2003 中的 Internet 连接防火墙功能来帮助保护 Internet 连接,该防火墙在默认情况下阻塞非法入站通信。Microsoft 建议您阻塞所有来自 Internet 的非法入站通信。
要使用网络安装向导启用 Internet 连接防火墙功能,请按照以下步骤进行操作:
1. 单击"开始",然后单击"控制面板"。
2. 在默认的"分类视图"中,单击"网络和 Internet 连接",然后单击"设置或更改您的家庭或小型办公网络"。在"网络安装向导"中将系统配置为直接连接至 Internet 后,就启用了 Internet 连接防火墙功能。
要为连接手动配置 Internet 连接防火墙,请按照以下步骤进行操作:
1. 单击"开始",然后单击"控制面板"。
2. 在默认的"分类视图"中,单击"网络和 Internet 连接",然后单击"网络连接"。
3. 右键单击要启用"Internet 连接防火墙"的连接,然后单击"属性"。
4. 单击"高级"选项卡。
5. 单击以选中"通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机或网络"复选框,然后单击"确定"。
注意 :如果想通过防火墙启用某些程序和服务,请单击"高级"选项卡上的"设置",然后选择所需的程序、协议和服务。
• 在防火墙处阻塞以下内容:
• UDP 端口 135、137、 138、445;TCP 端口 135、139、445、593
• 端口号大于 1024 的端口上的所有非法入站通信
• 任何其他特殊配置的 RPC 端口
这些端口用于启动与 RPC 的连接。将其阻塞在防火墙处,有助于保护位于防火墙后面的系统免受利用此漏洞进行的攻击。此外,还要确保阻塞远程系统上任何其他特殊配置的 PRC 端口。Microsoft 建议阻塞所有来自 Internet 的未经请求的入站通信,以帮助阻止可能使用其他端口进行的攻击。有关 PRC 使用的端口的更多信息,请访问以下 Web 站点。
• 在支持高级 TCP/IP 筛选功能的系统上启用此功能。
可以启用高级 TCP/IP 筛选功能来阻塞所有非法入站通信。有关如何配置 TCP/IP 筛选功能的更多信息,请参见 Microsoft 知识库文章309798。
• 在受影响的系统上使用 IPSec来阻塞受影响的端口。
使用 Internet 协议安全 (IPSec) 有助于保护网络通信。有关 IPSec 以及如何应用筛选器的详细信息,请参见 Microsoft 知识库文章 313190 和 813878。
Aceryt 2004-09-05
- 打赏
- 举报
Mark
