受影響系統(tǒng)：

    Microsoft Systems Management Server 2.0

    Microsoft Windows NT 4.0

    Microsoft BackOffice 4.5

    Microsoft Windows NT 4.0

    Microsoft Systems Management Server 1.2

    Microsoft Windows NT 4.0

    Microsoft BackOffice 4.0

    Microsoft Windows NT 4.0

    Microsoft Windows NT 4.0

    Microsoft Windows NT 3.5.1

    Microsoft Windows NT 3.5

    Microsoft Windows NT Terminal Server

    Microsoft Windows NT 4.0

    Microsoft Windows NT 2000

    描述：

    隨Windows NT/2000一起發(fā)行的網(wǎng)絡(luò)監(jiān)視器工具允許管理員捕獲和分析到本機(jī)的數(shù)據(jù)流以及局域網(wǎng)中的所有數(shù)據(jù)流。Netmon被設(shè)計(jì)成在數(shù)據(jù)流可以用圖形界面察看之前捕獲它們，它分析接收自網(wǎng)絡(luò)的信息，然后在用戶界面中將其轉(zhuǎn)換成可讀的格式。

    Netmon中不同的DLL庫分析不同的應(yīng)用協(xié)議。這些庫中一個(gè)名為“browser.dll”的DLL存在漏洞。通過利用這些存在漏洞的DLL中的函數(shù)調(diào)用的多處堆棧溢出，遠(yuǎn)程攻擊者可以控制網(wǎng)絡(luò)監(jiān)視器，執(zhí)行任意代碼并控制受害主機(jī)。

    測試方法：

    警 告

    以下程序(方法)可能帶有攻擊性，僅供安全研究與教學(xué)之用。使用者風(fēng)險(xiǎn)自負(fù)!

    1、如果發(fā)送一個(gè)CIFS瀏覽幀到138號UDP端口，browser.dll中的函數(shù)FormatBrowserSummary( )將被調(diào)用。一種名為“Become Backup”的特定的CIFS瀏覽幀包含有要顯示的瀏覽服務(wù)器的名字。該信息從UDP數(shù)據(jù)報(bào)中提取，以便將其包含在單行的總結(jié)中。

    瀏覽服務(wù)器名字被傳遞給Win32 API函數(shù)OemToChar( )，該函數(shù)將字符串從OEM定義的字符集轉(zhuǎn)換成ANSI字符集或者寬字符集。當(dāng)OemToChar( )遇到一個(gè)空字符時(shí)將停止轉(zhuǎn)換。browser.dll中存在漏洞的FormatBrowserSummary( )函數(shù)調(diào)用OemToChar( )將服務(wù)器名字轉(zhuǎn)換后存放在堆棧中長度為255字節(jié)的緩沖區(qū)中。OemToChar( )沒有提供邊界檢查，堆棧可以被任意值覆蓋。

    2、如果161號UDP端口收到一個(gè)SNMP請求，snmp.dll將被調(diào)用。SNMP請求中的community串是從數(shù)據(jù)報(bào)中提取的，以便用在與協(xié)議有關(guān)的總結(jié)中。SNMP community串被browser.dll用Win32函數(shù)wsprintfA( )拷貝到堆棧中的一個(gè)緩沖區(qū)中。由于該函數(shù)未提供足夠的邊界檢查，堆棧可被覆蓋。

    3、如果從139號TCP端口接收到一個(gè)SMB會話，smb.dll將被調(diào)用。這個(gè)分析器包含兩個(gè)漏洞。如果網(wǎng)絡(luò)監(jiān)視器接收到一個(gè)SMB會話，而該會話中有用于C類事務(wù)的很長的用戶名或文件名，它將按照類似如上所描述的SNMP分析器中的漏洞那樣，通過未經(jīng)邊界檢查的wsprintfA( )調(diào)用覆蓋其堆棧。

    可以通過兩種方法來控制這些漏洞中的指令指針，一種是通過覆蓋返回地址從而使存在漏洞的函數(shù)返回到指定的地址，另外一種方法是通過覆蓋結(jié)構(gòu)化異常處理回調(diào)指針來導(dǎo)致一個(gè)無效的內(nèi)存引用。

    建議：

    微軟已經(jīng)提供如下補(bǔ)丁：

    Microsoft Systems Management Server 2.0:

    Microsoft patch Q273476c

    Microsoft Systems Management Server 1.2:

    Microsoft patch Q273476c (SMS 1.2)

    Microsoft Windows NT 4.0:

    Microsoft patch Q274835i

    Intel

    Microsoft Windows NT 2000:

    Microsoft patch Q274835_W2K_SP2_x86_en