Microsoft 安全公告 MS15-083 - 重要

服务器消息块中的漏洞可能允许远程执行代码 (3073921)

发布日期:2015 年 8 月 11 日 | 更新时间:2015 年 9 月 8 日

版本: 2.0

执行摘要

此安全更新程序修复了 Microsoft Windows 中的一个漏洞。如果攻击者向 SMB 服务器错误记录发送特殊设计的数据包,此漏洞可能允许远程执行代码。

对于 Windows Vista 和 Windows Server 2008 的所有受支持版本,此安全更新的等级为“重要”。有关详细信息,请参阅“受影响的软件”部分。

该安全更新通过更正某些记录活动以阻止内存损坏来修复该漏洞。有关该漏洞的详细信息,请参阅“漏洞信息”一节。

有关此更新的详细信息,请参阅 Microsoft 知识库文章 3073921

受影响的软件

以下软件版本都受到影响。未列出的版本的支持生命周期已结束或者不受影响。要确定软件版本的技术支持生命周期,请参阅 Microsoft 技术支持生命周期

操作系统

最大安全影响

综合严重等级

替代的更新*

Windows Vista

Windows Vista Service Pack 2
(3073921)

远程执行代码

重要说明

MS10-012 中的 971468

Windows Vista x64 Edition Service Pack 2
(3073921)

远程执行代码

重要说明

MS10-012 中的 971468

Windows Server 2008

Windows Server 2008(用于 32 位系统)Service Pack 2
(3073921)

远程执行代码

重要说明

MS10-012 中的 971468

Windows Server 2008(用于基于 x64 的系统)Service Pack 2
(3073921)

远程执行代码

重要说明

MS10-012 中的 971468

Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2
(3073921)

远程执行代码

重要说明

MS10-012 中的 971468

服务器核心安装选项

Windows Server 2008(用于 32 位系统)Service Pack 2(服务器核心安装)
(3073921)

远程执行代码

重要说明

MS10-012 中的 971468

Windows Server 2008(用于基于 x64 的系统)Service Pack 2(服务器核心安装)
(3073921)

远程执行代码

重要说明

MS10-012 中的 971468

*在取代的更新链中,“替代的更新”列仅显示最新的更新。有关替代的更新的完整列表,请转到 Microsoft 更新目录,搜索更新知识库编号,然后查看更新详细信息(替代的更新信息位于“程序包详细信息”选项卡)。

严重等级和漏洞标识符

以下严重等级假设漏洞的可能的最大影响。有关此安全公告发布 30 天内,漏洞利用的安全等级和安全影响的可能性的信息,请参阅 8 月份公告摘要中的利用指数。

按受影响软件列出的漏洞严重等级和最大安全影响

受影响的软件

服务器消息块内存损坏漏洞 - CVE-2015-2474

综合严重等级

Windows Vista

Windows Vista Service Pack 2
(3073921)

重要
远程执行代码

重要

Windows Vista x64 Edition Service Pack 2
(3073921)

重要
远程执行代码

重要

Windows Server 2008

Windows Server 2008(用于 32 位系统)Service Pack 2
(3073921)

重要
远程执行代码

重要

Windows Server 2008(用于基于 x64 的系统)Service Pack 2
(3073921)

重要
远程执行代码

重要

Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2
(3073921)

重要
远程执行代码

重要

服务器核心安装选项

Windows Server 2008(用于 32 位系统)Service Pack 2(服务器核心安装)
(3073921)

重要
远程执行代码

重要

Windows Server 2008(用于基于 x64 的系统)Service Pack 2(服务器核心安装)
(3073921)

重要
远程执行代码

重要

漏洞信息

服务器消息块内存损坏漏洞 - CVE-2015-2474

服务器消息块 (SMB) 未正确处理某些记录活动而导致内存损坏时,Windows 中存在经过身份验证的远程代码执行漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

在攻击情形中,攻击者将持有有效凭据并将经过特殊设计的字符串发送至 SMB 服务器错误记录。

该更新通过更正某些记录活动以阻止内存损坏来修复该漏洞。Microsoft 通过协同的漏洞披露渠道了解到此漏洞的信息。在发布此安全公告时,Microsoft 未收到任何表明此漏洞已公开用于攻击客户的信息。

缓解因素

Microsoft 并未发现此漏洞的任何缓解因素

变通办法

以下变通办法在您遇到的情形中可能会有所帮助:

  • 禁用 SMBv1

    方法 1(使用 PowerShell):

    1. 在具有 PowerShell 2.0 或更新版本的 Windows Vista 和 Windows Server 2008 上,您可以执行以下 PowerShell 命令:

          Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force.
      
    2. 重启系统。

    方法 2(使用托管的部署脚本):

    1. 创建一个包含以下文本并且名为 SMBv1-disable.reg 的文本文件:

          [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
          "SMB1"=dword:00000000
      
    2. 运行 regedit.exe

    3. 在注册表编辑器中,单击“文件”菜单,然后单击“导入”。
    4. 导航并选择您在步骤 1 中创建的 SMBv1-disable.reg 文件。 (注意如果文件未列于预期位置,确保尚未自动对该文件给定 .txt 文件扩展名,或将对话框的文件扩展名更改为“所有文件”)。
    5. 单击打开,然后单击确定,以关闭注册表编辑器。
    6. 重启系统。

    变通办法的影响。 SMB 可能无法正常工作。

    如何撤消变通办法。

    方法 1(使用 PowerShell)

    1. 在具有 PowerShell 2.0 或更新版本的 Windows Vista 和 Windows Server 2008 上,您可以执行以下 PowerShell 命令:

          Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 –Force.
      
    2. 重启系统。

    方法 2(使用托管的部署脚本):

    1. 创建一个包含以下文本并且名为 SMBv1-enable.reg 的文本文件:

          [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
          "SMB1"=dword:00000001
      
    2. 运行 regedit.exe

    3. 在注册表编辑器中,单击“文件”菜单,然后单击“导入”。
    4. 导航并选择您在步骤 1 中创建的 SMBv1-enable.reg 文件。 (注意如果文件未列于预期位置,确保尚未自动对该文件给定 .txt 文件扩展名,或将对话框的文件扩展名更改为“所有文件”)。
    5. 单击打开,然后单击确定,以关闭注册表编辑器。
    6. 重启系统。
  • 禁用 SMB 中针对身份验证的扩展保护

    注意 设置任何强化模式之前,请参阅以下 MSDN 文章:针对身份验证的扩展保护概述

    1. 单击“开始”,单击“运行”,在“打开”框中键入 Regedit,然后单击“确定”。
    2. 导航到以下注册表位置:

          HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
      
    3. 在“编辑”菜单上,选择“新建”,然后单击“DWORD 值

    4. 键入“SmbServerNameHardeningLevel”,然后按 Enter 键。
    5. 在“编辑”菜单上,单击“修改”。
    6. 将 SmbServerNameHardeningLevel 的值设置为 0,然后单击“确定”。
    7. 关闭注册表编辑器并重启系统。

    变通办法的影响。 SMB 可能无法正常工作。

    如何撤消变通办法

    1. 单击“开始”,单击“运行”,在“打开”框中键入 Regedit,然后单击“确定”。
    2. 导航到以下注册表位置:

          HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
      
    3. 选择“SmbServerNameHardeningLevel”,然后按 Enter 键。

    4. 在“编辑”菜单上,单击“删除”,然后单击“”。
    5. 关闭注册表编辑器并重启系统。

安全更新程序部署

有关安全更新程序部署信息,请参阅执行摘要中此处引用的 Microsoft 知识库文章。

鸣谢

Microsoft 通过协调漏洞披露渠道认可在安全社区中帮助我们对客户进行保护的人们所做出的努力。有关详细信息,请参阅鸣谢部分。

免责声明

Microsoft 知识库中的信息“按原样”提供,没有任何形式的担保。Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定目的的适用性的保证。Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害,商业利润损失,或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。

修订版本

  • V1.0(2015 年 8 月 11 日):公告已发布。
  • V2.0(2015 年 9 月 8 日):为全面解决 CVE-2015-2472,Microsoft 为受影响的 Windows Vista 和 Windows Server 2008 版本重新发布安全更新 3073921。客户运行 Windows Vista 和 Windows Server 2008,之前安装的更新程序应该重新安装更新以获取对漏洞的完全保护。有关详细信息,请参阅 Microsoft 知识库文章 3073921

Page generated 2015-09-08 09:23-07:00.