藍屏漏洞威脅的是服務器Windows Server 2008，這意味著如果Windows Server 2008藍屏，將導致服務器停止服務……目前，漏洞的利用代碼還限制在小范圍內(nèi)，不過漏洞攻擊工具卻已經(jīng)研制出來了，現(xiàn)在為大家揭秘藍屏漏洞的利用過程。

　　問題： Windows Server 2008藍屏漏洞
　　危害： 服務器出現(xiàn)藍屏停止服務

　　危機：服務器的藍屏隱痛

　　藍屏漏洞的正式名稱是SMB v2漏洞，到截稿為止該漏洞還沒有補丁(預計10月第二個星期出補丁)。藍屏漏洞的危害到底有多大?對我們普通網(wǎng)民會帶來危害嗎?藍屏漏洞主要威脅的是使用Windows Server 2008的服務器，對Vista系統(tǒng)也有一定的影響。不過現(xiàn)在的黑客都變得務實起來，不會對市場份額尷尬的Vista系統(tǒng)感興趣。

　　使用Windows Server 2008作為服務器的，是郵件服務器、網(wǎng)站服務器、數(shù)據(jù)服務器、域名服務器等。一旦服務器藍屏了，管理員很可能不會第一時間知道——因為很多服務器都沒有配專用的顯示器，服務器就會在一段時間內(nèi)停止服務。

　　如果是網(wǎng)站服務器停止服務了，服務器上的所有網(wǎng)站都無法訪問;如果是郵件服務器停止服務了，郵件就不能中轉(zhuǎn)發(fā)送;如果是數(shù)據(jù)服務器停止服務了，可能會導致數(shù)據(jù)支持的系統(tǒng)崩潰，例如網(wǎng)游、網(wǎng)銀等系統(tǒng);如果是域名服務器停止服務了，“斷網(wǎng)門”可能再次上演。

　　2007年，微軟發(fā)布了替換Windows Server 2003的新一代服務器Windows Server 2008，該系統(tǒng)支持多核處理器，擁有64-bit技術(shù)、虛擬化以及優(yōu)化的電源管理等功能，吸引了許多企業(yè)用戶將服務器更換為該系統(tǒng)。

　　據(jù)市場調(diào)研機構(gòu)Gartner提供的數(shù)據(jù)顯示，在2007年全球發(fā)貨的服務器中，Windows服務器的份額已經(jīng)增長到66.8%，其中Windows Server 2008占了主流。在2008年~2009年，Windows Server 2008成為微軟的主打產(chǎn)品之一，份額呈現(xiàn)上升趨勢。根據(jù)以上數(shù)據(jù)測算，全球大約有五分之一的服務器使用的是Windows Server 2008。

　　原理：SMB溢出

　　這次導致藍屏漏洞出現(xiàn)的原因，是一個名為SRV2.SYS的驅(qū)動文件不能正確地處理畸形數(shù)據(jù)結(jié)構(gòu)請求。如果黑客惡意構(gòu)造一個惡意畸形的數(shù)據(jù)報文發(fā)送給安裝有Windows Server 2008的服務器，那么就會觸發(fā)越界內(nèi)存引用行為，讓黑客可以執(zhí)行任意的惡意代碼(圖1)。

　　編注：SMB(Server Message Block，又稱Common Internet File System)是由微軟開發(fā)的一種軟件程序級的網(wǎng)絡傳輸協(xié)議，主要作用是使一個網(wǎng)絡上的機器共享計算機文件、打印機、串行端口和通訊等資源。它也提供認證的進程間通信機能。它主要用在裝有Microsoft Windows的機器上，這樣的機器被稱為Microsoft Windows Network。SMB v2是SMB協(xié)議的最新升級版。

　　做一個形象的比喻，這就如同一座大橋的檢查站一樣，檢查人員只根據(jù)卡車上標注的噸位來估算卡車能否通過這座橋，而事實上黑客可以讓一輛超載的卡車同樣標注上合格的噸位通過檢查站。由于沒有做真正的稱重，檢查人員只憑借標注噸位來識別，最終導致超載的卡車危及大橋安全，導致橋毀車亡。

　　模擬：實測藍屏漏洞

　　步驟1：準備好藍屏漏洞的測試程序(該程序由安天實驗室特制，不過由于危害太大，不能提供下載)，然后在網(wǎng)絡中搜尋、下載一款端口掃描程序，此次測試我們選擇的是L-ScanPort端口掃描器。

　　步驟2：打開L-ScanPort端口掃描器(圖2)，在IP地址一欄中輸入想掃描的網(wǎng)絡段落，例如“192.168.1.1”作為起始段，“192.168.255.255”作為結(jié)束段。然后在軟件界面中找到“端口列表”一項，勾選上“445”端口，點擊“GO”按鈕掃描。

　　如果有開啟445端口的Windows Server 2008，那么就意味著黑客可以發(fā)動藍屏攻擊了。測試中，我們準備了一臺裝有Windows Server 2008并開啟SMB共享協(xié)議的服務器，掃描記錄下該服務器IP地址之后，準備發(fā)動攻擊測試。

　　步驟3： 在扮演攻擊方的電腦中，我們打開“命令提示符”，將測試程序放在C盤根目錄，然后在C :\>根目錄下，輸入攻擊命令：SMBv2.exe [被攻擊服務器IP地址](圖3)。

　　我們以最快的速度跑到被攻擊測試服務器面前，看到了下面的一幕(圖4)。

　　防范：沒有補丁這樣防

　　由于目前該漏洞沒有補丁，所以我們給出一個臨時解決方案，管理員必須手動在防火墻上關(guān)閉139端口和445端口，這種方法可以屏蔽來自英特網(wǎng)的所有的未經(jīng)請求的入站通信，但是停止該協(xié)議后，也就意味著用戶將不再能正常使用網(wǎng)絡內(nèi)共享的文檔和打印機了。

　　深度分析

　　大多數(shù)安全研究員不相信該漏洞僅可以實現(xiàn)藍屏效果，據(jù)我們所知，這個微軟官方一度認為不可能實現(xiàn)其他攻擊行為的漏洞，變成了可以實現(xiàn)遠程執(zhí)行代碼的高危漏洞。有安全研究員發(fā)現(xiàn)，通過新的手段可以利用該漏洞執(zhí)行黑客制定的惡意代碼，例如后門、木馬，最終實現(xiàn)控制整臺服務器的目的。

　　如果黑客能夠?qū)崿F(xiàn)控制文件共享服務器，也就意味著黑客盜取保存在Windows Server 2008服務器中的企業(yè)數(shù)據(jù)將易如反掌。事件的嚴重性超出了許多安全組織的想象，在此時，或許全球的黑客都在瘋狂地分析該漏洞，緊隨其后的很可能就是利用該漏洞發(fā)動的服務器蠕蟲攻擊風暴……