MS08-076: Windows Media组件：第二部分（共两部分）

在本部分中，我们将深入探讨CVE-2008-3010：Windows Media组件中的ISATAP漏洞。正如MS08-076公告所述，Windows Media组件（包括Windows Media Player、Windows Media Format Runtime和Windows Media Services）将ISATAP服务器地址视为内网区域地址，因此可能导致NTLM凭据泄露。

两种不同场景：客户端与服务端

客户端场景

客户端场景较为简单，涉及Windows Media Player（WMP）或任何基于Windows Media Foundation SDK或Windows Media Format SDK构建的客户端应用程序。例如，当用户使用WMP打开ISATAP URL地址时，WMP可能将NTLM凭据泄露到互联网。请注意，这里的“客户端场景”并不意味着操作系统必须是客户端操作系统。例如，用户仍可能在Windows Server 2008中使用WMP并遇到此问题。

值得注意的是，客户端场景有一个变通方案：修改WMNetMgr.dll的访问控制列表（ACL）。该方案未在公告中列出，因为它仅适用于客户端场景，而不适用于服务端场景。具体细节如下：

• 对于Windows XP：从管理员命令提示符运行以下命令：

  1	for /F “tokens=*” %G IN (‘dir /b /s %windir%\WMNetMgr.dll’) DO cacls %G /E /R everyone

• 对于Windows Vista和Windows Server 2008：从提升的管理员命令提示符运行以下命令：

  1	for /F “tokens=*” %G IN (‘dir /b /s %windir%\WMNetMgr.dll’) DO takeown /F %G && icacls %G /deny everyone:(F)

WMNetMgr.dll负责处理网络连接。因此，此变通方案的影响是WMP或其他客户端应用程序可能无法连接到任何服务器。本地媒体播放仍然正常。

服务端场景

服务端场景更为复杂，涉及Windows Media Services（WMS）。尽管服务器通常不会发送NTLM凭据，但在某些情况下，Windows Media服务器可能易受攻击。例如，假设用户购买流媒体服务，并让ISP的WMS从其WMS拉取内容以在内容分发网络上分发。在这种情况下，ISP的服务器可以对用户的服务器执行NTLM身份验证。为了理解其工作原理，请参考以下示意图：

在上图中，“边缘”服务器充当“源”服务器的客户端。因此，“边缘”服务器的凭据可能通过WMS泄露给“源”服务器，而“源”服务器可能被攻击者控制。虽然上述设置可能不是常见场景，但存在发生的可能性，因此我们修复了WMS以确保其正确分类ISATAP地址的区域。

Chengyun, SVRD Blogger
发布内容“按原样”提供，不提供任何担保，也不授予任何权利。