MS05-039:即插即用中允许远程执行代码和特权提升 
 
微软8月公告中MS05-039即插即用漏洞详细资料：

一、即插即用漏洞 - CAN-2005-1983：

即插即用存在远程执行代码和本地特权提升漏洞，成功利用此漏洞的攻击者可以完全控制受影响的系统。

二、即插即用漏洞 (CAN-2005-1983) 的缓解因素：

• 在 Windows XP Service Pack 2 和 Windows Server 2003 上，攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。 匿名用户或拥有标准用户帐户的用户不能远程利用此漏洞。 但是，具有管理权限的用户可远程使用受影响组件。
 
• 在 Windows XP Service Pack 1 上，攻击者必须拥有有效的登录凭据才能尝试利用此漏洞。 匿名用户无法远程利用此漏洞。 但是，具有标准用户帐户的用户可远程使用受影响组件。
 
• 采用防火墙最佳做法和标准的默认防火墙配置，有助于保护网络免受从企业外部发起的攻击。 按照最佳做法，应使连接到 Internet 的系统所暴露的端口数尽可能少。

三、即插即用漏洞 (CAN-2005-1983) 的常见问题解答：

此漏洞的影响范围有多大？

这是一个远程执行代码和本地特权提升漏洞。 在 Windows 2000 上，匿名攻击者可能试图远程利用此漏洞。 在 Windows XP Service Pack 1 上，只有经身份验证的用户可试图远程利用此漏洞。 在 Window XP Service Pack 2 和 Windows Server 2003 上，只有管理员才能远程访问受影响的组件。 因此，在 Windows XP Service Pack 2 和 Windows Server 2003 上，严格来说这是一个本地特权提升漏洞。 在 Windows XP Service Pack 2 和 Windows Server 2003 上，匿名用户不能试图远程利用此漏洞。

成功利用此漏洞的攻击者可完全控制受影响的系统。 攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。

造成漏洞的原因是什么？
Plug and Play 服务中未经检查的缓冲区

什么是即插即用？
当在系统上安装了新硬件，即插即用 (PnP) 允许操作系统检测它。 例如，当在系统上安装新鼠标时，PnP 允许 Windows 检测它、加载所需的驱动程序和开始使用新鼠标。

攻击者可能利用此漏洞执行什么操作？
成功利用此漏洞的攻击者可以完全控制受影响的系统。

攻击者能够如何利用此漏洞？
在 Windows 2000 上，匿名的攻击者可能试图通过创建特制的消息并将其发送到受影响的系统来利用此漏洞。 这样，这些消息可能导致受影响的系统执行代码。 在 Windows XP Service Pack 1 上，仅经过身份验证的用户可远程利用此漏洞。 在 Windows XP Service Pack 2 和 Windows Server 2003 上，要尝试利用此漏洞，攻击者必须从本地登录到系统中，然后运行特制的应用程序。

受此漏洞威胁最大的系统有哪些？
Windows 2000 系统受此漏洞的影响最大。在 Windows XP Service Pack 1、Windows XP Service Pack 2 和 Windows Server 2003 上，攻击者必须拥有有效的登录凭据才能利用此漏洞。 在 Windows XP Service Pack 1、Windows XP Service Pack 2 和 Windows Server 2003 上，匿名用户不能远程利用此漏洞。

是否可以通过 Internet 利用此漏洞？
是，在 Windows 2000 上的匿名用户和在 Windows XP Service Pack 1 上经过身份验证的用户都可以。采用防火墙最佳做法和标准默认防火墙配置，有助于保证免受来自 Internet 的攻击。 Microsoft 提供了关于如何帮助保护您的 PC 的信息。 最终用户可以访问保护您的 PC 网站。 IT 专业人士可以访问安全指南中心网站。 在 Windows XP Service Pack 2 和 Windows Server 2003上，攻击者必须能够登录到作为攻击目标的特定系统。 匿名攻击者无法利用此漏洞远程加载和运行程序。

此更新有什么作用？
此更新通过修改 Plug and Play 服务在将消息传递到分配的缓冲区之前验证消息长度的方式来消除此漏洞。 此外，在 Windows 2000 上，更新限制匿名访问受影响的组件，在尝试远程使用此功能之前，需要用户通过受影响组件的身份验证。 此更改与 Windows XP Service Pack 1 的默认设置是一致的。

发布此安全公告时，此漏洞是否已公开披露？
否。 Microsoft 通过可靠的披露渠道了解到有关此漏洞的信息。 在最初发布此安全公告时，Microsoft 未收到任何表明此漏洞已公开披露的信息。

在发布此安全公告时，Microsoft 是否收到任何有关此漏洞已被利用的报告？
否。 在最初发布此安全公告时，Microsoft 未收到任何表明此漏洞已被公开用于攻击客户的信息，也没有看到任何发布的概念代码证明示例。

四、即插即用漏洞 (CAN-2005-1983) 的变通方法：

Microsoft 已测试过以下变通办法。 尽管这些变通办法不能从根本上消除此漏洞，但它们有助于阻止已知的攻击媒介。 如果某种变通办法导致功能下降，下一节中将进行说明。

注意 其他协议（例如 Internet 数据包交换 (IPX) 和顺序包交换 (SPX)）可能会受此问题的影响。 如果正在使用易受攻击的协议（如 IPX 和 SPX），应对这些协议阻止相应的端口。 有关 IPX 和 SPX 的详细信息，请访问以下 Microsoft 网站。

注意 正如“减轻影响的因素”部分所述，Windows XP Service Pack 2 和 Windows Server 2003 容易受到此问题的影响，主要来自于本地登录的用户。 以下变通办法主要用于容易受到匿名的、基于网络的攻击的较低操作系统版本。

• 在防火墙处阻止 TCP 端口 139 和 445：

这些端口用于启动与受影响协议的连接。 将其阻止在防火墙处（入站和出站），有助于保护位于防火墙后面的系统免受利用此漏洞进行的攻击。 我们建议阻止所有来自 Internet 的未经请求的入站通信，以帮助防止可能使用其他端口进行的攻击。 有关端口的详细信息，请访问以下网站。
 
• 为帮助防止攻击者试图基于网络利用此漏洞，请使用个人防火墙，例如Internet 连接防火墙，该防火墙包含在 Windows XP Service Pack 1 中。

默认情况下，Windows XP Service Pack 1 中的“Internet 连接防火墙”功能会通过阻止未经请求的传入通信来帮助保护您的 Internet 连接。 我们建议您阻止所有来自 Internet 的非法传入通信。

要使用网络安装向导启用 Internet 连接防火墙功能，请按照以下步骤进行操作：

1. 单击“开始”，然后单击“控制面板”。
 
2. 在默认的“分类视图”中，单击“网络和 Internet 连接”，然后单击“设置或更改您的家庭或小型办公网络”。 在“网络安装向导”中将系统配置为直接连接至 Internet 后，就启用了 Internet 连接防火墙功能。
 

要为连接手动配置 Internet 连接防火墙，请按照以下步骤进行操作：

1. 单击“开始”，然后单击“控制面板”。
 
2. 在默认的“分类视图”中，单击“网络和 Internet 连接”，然后单击“网络连接”。
 
3. 右键单击要启用“Internet 连接防火墙”的连接，然后单击“属性”。
 
4. 单击“高级”选项卡。
 
5. 单击以选中“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机或网络”复选框，然后单击“确定”。
 

注意 如果要通过防火墙启用某些程序和服务以进行通信，请单击“高级”选项卡上的“设置”，然后选择所需的程序、协议和服务。
 
• 为帮助防止攻击者试图基于网络利用此漏洞，请在支持高级 TCP/IP 筛选功能的系统上启用此功能。

可以启用高级 TCP/IP 筛选功能来阻止所有非法入站通信。 有关如何配置 TCP/IP 筛选功能的详细信息，请参阅 Microsoft 知识库文章 309798。
 
• 为帮助防止攻击者试图基于网络利用此漏洞，请通过在受影响的系统上使用 IPSec 来阻止受影响的端口。