MS08-001 - Windows Server 2003缺失攻击向量的案例分析

在我们MS08-001博客系列的第3部分中提到，Windows Server 2003默认情况下不会暴露易受攻击的IGMP代码执行漏洞的攻击向量。Windows XP和Vista启用了UPnP（通用即插即用），这会暴露对易受攻击代码的攻击向量，但Windows Server 2003默认不启用UPnP。因此，WS03计算机会忽略从网络接收的IGMP消息。

我们收到了一些关于Windows Server 2003对IGMP漏洞暴露程度的问题。

问题1：默认情况下，Win2k3服务器加入了多播组224.0.0.1。这是否意味着Win2K3默认情况下易受攻击？MSRC公告中的评级是错误的吗？

答案：公告评级是正确的。当Win2k3服务器仅加入224.0.0.1时，它不易受IGMP问题的影响。

观察默认配置的Win2K3服务器上的netsh命令输出：

1
2
3
4

>netsh int ip show joins
Interface Addr Multicast Group
-————– —————
10.1.1.1 224.0.0.1

224.0.0.1是子网上的所有主机。尽管加入了224.0.0.1，但win2k3服务器不易受攻击的原因是Windows会忽略对该地址的IGMP查询。以下是实际代码：

1
2
3
4
5
6
7

} else {
// 如果是全主机地址，忽略它
if (IP_ADDR_EQUAL(IQH->igh_addr, ALL_HOST_MCAST)) {
DEBUGMSG(DBG_WARN && DBG_IGMP,
(DTEXT("Dropping IGMPv3 query for the All-Hosts group\n")));
return;
}

问题2：如何判断我的Windows Server 2003计算机是否易受攻击？

答案：如果服务器加入了除224.0.0.1之外的任何多播组，则它易受IGMP攻击。

使用以下netsh命令将显示计算机加入的多播组：

1

netsh int ip show joins

例如，如果在Win2k3服务器中启用了WINS组件，上述netsh命令的输出将是：

1
2
3
4

Interface Addr Multicast Group
-————– —————
10.1.1.1 224.0.0.1
10.1.1.1 224.0.1.24

224.0.1.24是WINS的IP多播组。上述配置（如果未打补丁）易受IGMP攻击。

问题3：即使服务器没有加入除224.0.0.1之外的多播组，如果攻击者发送单播IGMP数据包，它是否仍会受到影响？

答案：不会。尽管主机会接收单播IGMP数据包，但IGMP查询有效负载中需要包含有效的多播地址，因此数据包将被忽略。