MS12-054: 并非所有远程预认证漏洞都同样适合蠕虫传播

我们发布了安全更新MS12-054，以解决Windows网络组件中四个私下报告的漏洞，这些漏洞未能正确处理格式错误的远程管理协议（RAP）响应。其中最严重的问题是CVE-2012-1851，这是打印机后台处理程序服务在处理响应消息时的格式字符串漏洞，在Windows XP和Windows Server 2003上属于可蠕虫化类漏洞。至少，算是可蠕虫化的。本文将解释攻击场景和有限的受影响平台，帮助您评估此漏洞对您环境的风险。

什么是RAP协议？

Windows工作组和域维护网络资源（如打印机、SQL服务器和文件服务器）的查找列表。每当有新资源可用时（例如共享新打印机或SQL服务器启动），托管该资源的服务器会通知子网的主浏览器（或备份浏览器）。任何需要特定类型资源的应用程序或工作站都可以查询其子网的主浏览器或备份浏览器，以获取请求类型的资源列表。MSDN NetServerEnum文档解释了应用程序如何查询子网浏览器以获取网络资源以及可查询的资源类型。远程管理协议（RAP）是Windows中包含的协议，用于执行这些类型的管理功能。

潜在攻击场景

MS12-054解决的所有四个漏洞都是客户端解析格式错误的RAP响应的问题。要通过发送恶意响应触发漏洞，攻击者需要充当子网的浏览器，或在合法主/备份浏览器的查找表中填充格式错误的记录，这些记录将在客户端请求特定类型的资源时中继给客户端。Windows XP用户面临这些漏洞最显著的风险，如本文末尾受影响产品图表所示。一个常用的用户体验路径是Windows XP“我的网络位置”对话框中的“查看工作组计算机”链接，该链接会启动NetServerEnum调用（及随后的RAP请求），如下图所示：

这如何“可蠕虫化”？

除了上述“我的网络位置”用户启动的场景外，Windows XP上还存在几个“默认开启”的场景。例如，winlogon使用此协议发起请求以查找域控制器。客户端组策略组件也会发起RAP请求，恶意子网浏览器可以返回格式错误的攻击响应。以CVE-2012-1851为例，它涉及Windows XP和Windows Server 2003上的打印后台处理程序服务，该服务定期轮询/查询子网浏览器以获取共享打印机列表。在以下条件下，它将“可蠕虫化”：

• 受害工作站运行Windows XP或Windows Server 2003
• 攻击者能够当选为受害者子网的主浏览器
• 或
• 攻击者能够用格式错误的记录填充真实主浏览器的打印机列表
• 并且
• 真实主浏览器上启用了打印浏览组策略选项。
• 受害工作站上运行工作站服务（LanMan）。
• 受害工作站上运行打印后台处理程序服务。

每两分钟，受害者的打印后台处理程序服务将调用NetServerEnum API来枚举共享的可用打印机。这指示工作站服务通过SMB向子网的浏览器发起RAP请求。子网浏览器随后可能发回格式错误的响应，该响应将传递给后台处理程序服务，触发漏洞。下图描述了流程：

受影响平台

受影响平台列表对已迁移到较新版本Windows的客户来说是个好消息。首先，两个漏洞（CVE-2012-1852和CVE-2012-1853）仅影响Windows XP。影响浏览器服务的漏洞（CVE-2012-1850）在Vista及更高平台上被评为中等，因为从Windows Vista开始，浏览器服务默认关闭。最后，打印后台处理程序服务代码执行漏洞（CVE-2012-1851）在Windows Vista上仅表现为拒绝服务，在默认配置下完全不影响更高平台。

下表总结了每个平台的风险：

我们希望这些信息能帮助您评估环境中这个“算是可蠕虫化”问题的风险。如果您有任何问题，请告诉我们。

• Jonathan Ness、Neil Sikka和Gangadhara Swamy，MSRC工程团队

攻击向量：网络
网络协议：SMB
评级：严重
风险评估：高