渗透报告模版

CVE-2012-0002

简介：

渗透测试人员发现，Windows操作系统中存在远程桌面协议RDP远程代码执行导致系统蓝屏的漏洞，漏洞编号CVE-2012-0002(MS12-020）。 在Windows XP 、Windows Server 2003 以及未开启网络层认证（Network Level Authentication）的Windows Server 2008 和Windows 7 中，只要操作系统开启Remote Desktop Protocol (RDP)服务，远程攻击者在未经认证的情况下往服务器发送畸形恶意的数据包，便可以以系统权限或者NET SERVICE权限执行任意命令。 在开启网络层认证（Network Level Authentication）Windows Server 2008 *和Windows 7 *中，远程攻击者需要以合法账户登录，才能发动攻击，远程执行任意命令。

整改：

[1] 更新操作系统补丁，厂商已经发布了针对此漏洞的安全公告MS12-020和系统补丁，请用户立刻更新到系统最新版本来避免受到漏洞的影响：http://technet.microsoft.com/en-us/security/bulletin/ms12-020

[2]  在Windows系统中默认关闭远程桌面协议（Remote Desktop Protocol），不开启远程桌面协议（Remote Desktop Protocol）可不受漏洞影响。在Windows操作系统中，可禁用如下服务：Terminal Services, Remote Desktop, Remote Assistance, Windows Small Business Server 2003 Remote Web Workplace feature。

[3]  可配置防火墙过滤来自非法用户向3389端口的请求。

[4]  Windows Server 2008 和Windows 7 上开启Network Level Authentication服务。

 

HTTP.SYS远程代码执行

 简介：

渗透测试人员发现，HTTP.sys是Microsoft Windows处理HTTP请求的内核驱动程序，为了优化IIS服务器性能，从IIS6.0引入，IIS服务进程依赖HTTP.sys。HTTP.sys远程代码执行漏洞实质是HTTP.sys的整数溢出漏洞，当攻击者向受影响的Windows系统发送特殊设计的HTTP 请求，HTTP.sys 未正确分析时就会导致此漏洞，成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。此远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中，当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。若要利用此漏洞，攻击者必须将经特殊设计的 HTTP 请求发送到受影响的系统。

整改：

[1] 微软已发布补丁MS15-034，补丁下载地址：http://technet.microsoft.com/security/bulletin/MS15-034（建议在修复前创建服务器快照，以免修复失败造成损失；打好补丁后，需要重启服务器。请用户注意风险!）