小心 Windows Media 服务漏洞

您的网站是否提供了影视点播服务，您的Windows服务器是否开放了Windows Media服务？如果是，那作为管理员的您就要注意了，最近Microsoft发布新的安全公告， Windows Media服务带来的nsiislog.dll存在着远程缓冲区溢出漏洞，攻击者利用这个漏洞可以使IIS停止响应甚至还可以远程取得访问权，也就是说利用这个漏洞攻击者能远程进入您的系统！所以如果不及时解决这个漏洞，对开放了Windows Media服务的Windows 2000/2003系统来说都是个巨大的潜在威胁，管理员们应该予以重视。
先来看这个漏洞的具体情况：Microsoft Windows Media Services（媒体服务）是Microsoft Windows 2000/2003中包含的服务，它支持通过多播流从网络上传送媒体内容给客户端。为了能记录客户端信息，Windows Media提供了多播和单播传输进行记录的功能，此功能以ISAPI扩展nsiislog.dll来实现，而当这个nsiislog.dll处理超长POST请求数据时存在缓冲区溢出漏洞，如果攻击者向服务器提交特殊构造的请求，会导致IIS停止对Internet请求的响应或者执行任意指令。受此漏洞影响的系统包括：Microsoft Windows 2003、Windows 2000所有版本（SP3/SP2/SP1）。微软官方网站对此漏洞的公告在：
http://www.microsoft.com/technet/security/bulletin/MS03-022.asp。
从上面的漏洞资料我们知道，其实真正缓冲区溢出发现是在Windows Media Services的ISAPI扩展nsiislog.dll对用户请求处理上。而Windows媒体服务在Windows 2000默认安装时是没有安装的，所以这个nsiislog.dll文件在默认情况下是没有的，只有当Windows媒体服务在Windows 2000/2003中通过增加/删除程序进行安装时，nsiislog.dll才会安装在IIS脚本目录下。所以攻击者要利用这个漏洞必须得有两个前提条件：
一是Windows 2000/2003服务器提供了Windows Media服务（默认服务端口是7007），二是Windows 2000/2003服务器开放了IIS服务（默认服务端口是80），同时其脚本目录（Scripts）下要存在nsiislog.dll文件，只有当这两个条件都满足时这个漏洞才能被利用。
如何确定一个网段内的哪些Windows 2000/2003服务器是否同时开放Windows Media服务和IIS服务呢？这很简单，只要用个端口扫描器扫描目标主机是否同时开放了80端口和7007端口就行了，如图1。

图1
Superscan是一个速度飞快的端口扫描器，下载地址：http://www.piaoye.net:86/download/list.php?type=7，管理员们也可以用它来检查您管理的网段内哪几台服务器开了7007端口的Meida服务。至于这个漏洞的危险性到底有多大，是否真的像微软安全公告中说的那样能被执行任意代码取得访问权吗？虽然现在网上还没有公开流行此漏洞的溢出攻击程序，但笔者通过安全界的朋友拿到了一份此漏洞的溢出测试代码和一个溢出程序，然后在自己打过SP3补丁的Windows Advance Server上作了测试。IIS服务本来就开着，所以首先安装Windows Media服务，安装完成后发现IIS的脚本目录下果然出现了个nsiislog.dll文件！然后在另一台机器上用溢出测试程序mediaoverflow.exe在DOS或CMD下输入：“mediaoverflow 192.168.0.2 ”进行溢出测试。如果溢出成功就会在7788端口绑定一个Shell，只要telnet上去就可以进行命令操作，输入“telnet 192.168.0.2 7788”，连接成功，看来溢出真的成功了。试了net user、ftp 、dir、type等几个常用命令，都正常回显了结果，太可怕了，和远程登录的功能一模一样！再试了试读写权限，还好，溢出后得到的只是guest权限，对系统文件只能读不能写，这样对系统的危害相对小点。但对攻击者来说，在这样的情况下再要扩大权限不是难事。利用这个漏洞还可以对IIS发动拒绝服务攻击，能轻易地使Windows 2000的IIS停止服务。总之，对这个漏洞，管理员们绝不能掉以轻心。
由于此漏洞刚公布不久，许多管理员还不知情，所以目前网上大多数的Windows Media服务器都还没有补上这个漏洞，希望大家看了此文后能及时补上这个漏洞。下面说说解决这个漏洞的方法：如果不能立刻安装补丁或者升级，可以暂时地删除或者禁用nsiislog.dll，这并不会影响媒体服务的正常工作，当然这只是此漏洞的临时解决方法。最好的解决方法还是快去Microsoft网站下载补丁，不能怕麻烦。补丁下载地址：http://microsoft.com/downloads/details.aspx?FamilyId=F772E131-BBC9-4B34-9E78-F71D9742FED8&displaylang=en