用即插即用（UPnP）服务中不受检查的缓冲区将有可能影响系统的安全

Microsoft安全公告MS01-059

用即插即用（UPnP）服务中不受检查的缓冲区将有可能影响系统的安全

最初发布时间： 2001年12月20日

摘要

本公告的目标受众：正在使用Microsoft® Windows® ME、Microsoft® Windows® XP或已在Windows 98及98SE系统上安装了Windows XP Internet连接共享客户端软件的广大客户。
弱点所导致的影响：运行由攻击者设定的程序代码。
最高安全性级别：重大
建议：Microsoft强烈要求运行Windows XP操作系统的全体客户立即应用该补丁程序。而使用Windows 98、Windows 98 SE或Windows ME的客户则应在已安装并运行通用即插即用服务功能的前提下应用该补丁程序。
影响波及的软件产品：
Microsoft Windows 98
Microsoft Windows 98SE
Microsoft Windows ME
Microsoft Windows XP

详细技术资料

技术说明：
通用即插即用（UpnP）服务功能可帮助计算机发现和使用基于网络的硬件设备。Windows ME和Windows XP本身均已捆绑了UpnP服务功能；而Windows 98和Windows 98SE虽未附带UpnP服务，但却可通过随Windows XP一并发售的Internet连接共享客户端软件将此项功能安装就位。本公告主要围绕对上述UpnP实现方式构成影响的两大弱点展开讨论。虽然这两个弱点之间互无关联，但却都与具备UpnP功能之计算机在网络系统上处理新设备发现操作的具体实现方式有关。
第一个弱点是缓冲区溢出错误隐患。负责处理NOTIFY指令的某一组件中，存在着一个未受检查的缓冲区——这里所说的NOTIFY指令主要用于在网络系统上传播具备UpnP功能之配件设备的可用状态。攻击者可通过故意发送具有格式编排错误的NOTIFY指令，在UpnP服务环境下触发恶意程序代码开始运行，而这里所说的UpnP服务则需在Windows XP操作系统上借助系统特权方可实现运行。（在Windows 98和Windows ME平台上，所有程序代码都将以操作系统组成部分的形式得到执行）。这样一来，必将使攻击者获得完全的系统控制权限。
第二个弱点应归咎于UpnP服务功能无法对其自身搜集最新设备使用信息的操作步骤加以充分限制。用以告知目标计算机设备描述存储位置的信息资料主要包含在由新增UpnP设备所发送的NOTIFY指令当中，并可列示出硬件设备所能提供的服务特性及相关使用说明。根据设计方案，相关设备描述有可能存在于第三方服务器，而非硬件设备本身。当然，UpnP实现方式尚无法对其自身执行上述操作的途径加以充分调控，而这又导致了两种不同的服务情境。
在第一种情境中，攻击者可将要求从特定服务器特定端口下载设备描述信息的NOTIFY指令发送至具备UpnP服务功能的计算机。如果特定服务器被配置为只将下载请求简单反馈至UpnP服务功能的状态（例如，使响应服务运行于目标计算机所指向的特定端口），那么，目标计算机将有可能被迫陷入永无休止的下载周期当中，从而，导致部分甚至全部系统可用处理能力的盲目消耗。攻击者可通过使用受害计算机IP地址来编制并发送上述指令。不仅如此，他们还可将完全相同的指令发送至某一广播与多播域，并针对该域所及范围内的全部计算机实施攻击，从而，达到消耗部分或全部系统可用处理能力的目的。
在第二种情境中，攻击者可将第三方服务器指定为对应于NOTIFY指令所包含设备描述信息的宿主。如果有足够数量的服务器对相关指令产生响应，那么，便会在分布式拒绝服务攻击中导致大量虚拟请求充斥于第三方服务器的情况发生。与第一种情境相似的是，攻击者既可将相关指令直接发送至受害服务器，又可将其发送到某一广播或多播域。
缓解因素：
概要：
标准防火墙实现方式（特别是将1900和5000两个端口予以阻断的方式）可被用来保护企业网络系统免遭来自Internet的攻击。
Windows 98与Windows 98 SE：
因为Windows 98和Windows 98 SE本身并不具备对UPnP的支持，所以只有安装了来自Windows XP的Internet连接共享客户端软件的Windows 98和Windows 98 SE计算机才会受到前述弱点的影响。
如果Windows 98和Windows 98 SE计算机上安装的Internet共享客户端软件来自于一个已经安装了安全补丁的Windows XP系统，则这些计算机不会受上述弱点的影响。
Windows ME：
Windows ME本身虽具备UpnP支持特性，但在缺省状态下，该服务特性既没有自动安装，也不会自动运行。（当然，某些OEM有可能在预制系统上将此项服务配置为安装并运行状态）。
Windows XP：
在缺省配置下即处于运行状态的Internet连接防火墙可显著提高攻击者判别目标计算机IP地址的操作难度。而这则有可能对攻击者利用单播消息侵扰目标计算机的能力构成重大妨碍。当然，通过多播或广播途径实施攻击的情况仍有发生的可能。
严重程度对比：
缓冲区溢出：
　 Internet服务器 企业网服务器 客户端系统
Windows 98、98SE 无无中等
Windows ME 无无中等
Windows XP 无无重大
拒绝服务漏洞：
　 Internet服务器 企业网服务器 客户端系统
Windows 98、98SE 无无中等
Windows ME 无无中等
Windows XP 无无中等
可被补丁程序消除的全部弱点的累积严重程度：
　 Internet服务器 企业网服务器 客户端系统
Windows 98、98SE 无无中等
Windows ME 无无中等
Windows XP 无无重大
上述评估结论主要以弱点所影响的系统类型、系统典型部署模式以及利用弱点可能对系统产生的负面影响等因素为判断基础。鉴于只有Windows XP在缺省状态下易受攻击，因此，该操作系统受负面影响的严重程度较之Windows 98、Windows 98SE和Windows ME也相对较高。
弱点标识符：
缓冲区溢出：CAN-2001-0876
拒绝服务：CAN-2001-0877
已经过测试的产品版本：
Microsoft公司已针对Windows ME、Windows NT 4.0、Windows 2000、Windows XP以及可被安装于Windows 98和Windows 98SE的UpnP服务进行了测试，以便就上述产品是否会受到相关弱点影响的具体情况加以评估。其它早期版本已不在支持范围之内，而其是否受到相关弱点影响的可能性也在两可之间。

常见问题解答

本公告主要涉及哪些弱点？
本公告主要围绕两大弱点展开讨论，这两种弱点均可对Windows ME和Windows XP中的通用即插即用（UPnP）服务功能构成负面影响。
何谓通用即插即用（UPnP）？
通用即插即用（UpnP）是一种可允许网络设备针对其它硬件设备进行发现，并就目标设备应用方式加以判定的服务功能。对UpnP功能加以理解的最简单方式为，将其与大多数Windows用户早已司空见惯的即插即用（PnP）功能进行对比分析。PnP可帮助操作系统在用户将新硬件安装至相关系统的情况下，对该硬件进行自动侦测。举例来说，如果您在计算机上安装了一只新鼠标，那么，PnP功能便会允许Windows系统对该设备进行侦测，接着，加载设备所需驱动程序，并在此基础上开始对其加以应用。而UpnP功能则已将上述概念从本地系统解决方案扩展至基于网络系统的各种硬件设备。UpnP功能可帮助计算机对基于网络系统的其它硬件设备进行了解，并就相关设备的应用方式加以判定。举例来说，某一计算机可借助UpnP功能对基于网络系统的打印机实施侦测，并在此基础上就目标打针机是否可供使用及其具体应用方式加以判断。
哪些操作系统可为UpnP功能提供支持？
Windows 98和Windows 98SE均不具备针对UpnP功能的本地支持特性。用户只能通过安装随Windows XP一并提供之Internet连接共享客户端软件的方式将此项功能添加至目标操作系统。
Windows ME本身虽具备UpnP支持特性，但在缺省状态下，该服务特性既不能自动安装，也不会自动运行。
Windows NT 4.0和Windows 2000均无法为UpnP提供相关支持。
Windows XP本身具备UpnP功能，并可在缺省状态下实现安装和运行。
除均与UpnP功能相关外，两大弱点是否还具备其它共性？
是的。两大弱点在UpnP服务执行设备发现操作的具体方式上也存在着相同问题。
何谓UpnP设备发现，此项功能通过何种方式发挥作用？
设备发现是具备UpnP功能的计算机借以掌握可用设备情况及其服务调用方式的操作处理过程。
当具备UpnP服务功能的计算机执行引导操作时，网络系统上或许已存在可供该计算机加以应用的硬件设备。为判断相关设备的适用性，该计算机将发送一条广播请求（通常被称作M-SEARCH指令），旨在要求广播所及范围内任何具备UpnP功能的硬件设备直接产生响应，并提供有关其应用方式的信息资料。
无独有偶，当可支持UpnP功能的某一设备（例如，一台具备UpnP功能的打印机）开始引导时，网络系统上或许已存在可对其加以应用、且同样具备UpnP功能的计算机。该设备可面向所及范围内的全体计算机播发一条消息（通常被称作NOTIFY指令），以便就其在网络系统上的存在情况进行通报，并邀请其它计算机对其所具备的服务功能加以应用。
假设一台具备UpnP功能的计算机获知特定设备处于可用状态，请问，该计算机将如果了解目标设备的使用方法？
该计算机将查看是否有任何应用程序对已探明的设备类型注册过使用意向。如果的确存在这样一个应用程序，那么，该计算机将针对由目标设备所发送的信息资料进行参考。要知道，这里所说的信息资料将包含一个通往可供下载设备描述（目标设备所能提供的服务列表及其请求调用说明）的URL。而计算机则将继续下载设备描述，并开始对目标设备加以应用。
将对UpnP服务功能构成影响的弱点是什么？
这里共有两大弱点：
第一个弱点只会影响到Windows XP的UpnP实现方式，并可使攻击者获得针对目标系统的完整控制权限。
第二个弱点则会影响到全体UpnP实现方式，其后果是，攻击者要么可以阻止目标系统提供有用服务，要么可以利用多个用户系统针对单一目标发动分布式拒绝服务攻击。
第一个弱点的作用范围有多大？
这是一个与缓冲区溢出相关的弱点。利用这个弱点乘虚而入的攻击者可获得针对目标系统的完整控制权限。毫无疑问，这是一个相当严重的弱点，为此，我们强烈建议广大客户立即应用相关补丁程序。
导致这个弱点产生的原因何在？
导致这个弱点产生的原因在于，Windows XP所具备的UpnP服务功能中，存在着一个包含有不受检查的缓冲区的程序组件，而这个缓冲区则可通过故意发送具有格式编排错误的UPnP NOTIFY指令被充塞至溢出状态。
Windows XP所具备的UpnP服务功能对NOTIFY指令进行处理的具体方式存在着哪些问题？
NOTIFY指令处理过程所涉及的Windows XP组件之一便包含有一个不受检查的缓冲区。如果UpnP服务收到了一条故意按特定方式错误编排的NOTIFY指令，那么，由来自NOTIFY指令的数据所造成的影响则将体现为该缓冲区的溢出。而如果相关数据已经过精心挑选，那么，它的运行就可能会改变UPnP的运行方式。
这将使攻击者在哪些方面有机可乘？
成功利用上述弱点的攻击者可针对UpnP服务功能进行相应修改，以便执行任何所需操作任务。由于UpnP服务主要以操作系统组成部分的形式运行，因此，这将为攻击者赋予针对目标系统的完整控制权限。
攻击者将如何对两大弱点加以利用？
攻击者可通过运用所需变造格式生成NOTIFY指令、并将其发送至网络系统目标计算机的方式利用上述弱点乘虚而入。
攻击者主要以何种方式将NOTIFY指令发送至其它计算机？
NOTIFY指令既可作为单播消息（也就是以特定计算机为直接发送目标）发送，又能以多播或广播（也就是被广播至成组计算机）形式发送。由攻击者所选取的特定发送方式关系十分重大。单播形式有助于提高攻击者的操作针对性，但却需要以事先掌握有关目标计算机的更多信息资料为代价。与此相反，多播形式则可帮助攻击者在无需详细了解目标计算机信息资料的前提下，对多台计算机的系统安全构成实质性威胁，但此种攻击形式需要攻击者与受攻击计算机处于同一网段中。
通过单播NOTIFY消息实施的攻击将如何发挥作用？
在单播情境下，攻击者可将NOTIFY消息直接发送至另一计算机，这就如同针对来自该计算机的M-SEARCH指令做出回应的方式一样。使用单播消息的优势主要体现为，攻击者可针对作为NOTIFY消息提交目标的任何计算机实施攻击。攻击者可借助单播消息对远程目标计算机的系统安全构成潜在威胁。
而单播消息的劣势则主要体现为，攻击者必须掌握目标计算机的IP地址。大多数网络系统均使用动态主机配置协议（DHCP）对其IP地址池实施管理，而这种处理机制的结果则体现为，特定计算机的IP地址有可能处于频繁变换的状态之下。尽管了解某一计算机IP地址的目标并非遥不可及，然而，这却需要根据环境付出艰苦的工作努力。
通过多播NOTIFY消息实施的攻击将如何发挥作用？
在多播或广播情境下，攻击者可针对某一多播或广播地址发送NOTIFY消息，其表象与来自一台具备UpnP服务功能之新设备的信息资料别无二帜。使用多播或广播消息的优势主要体现为，攻击者无需掌握其它任何计算机的IP地址，即可通过仅发起一次攻击的方式对大量目标计算机的系统安全构成潜在威胁。
而多播或广播消息的劣势则体现为，无法执行路由操作。（要了解个中缘故所在，就请考虑一下，如果多播或广播消息针对自身执行转发，将会出现何种情况——来自世界上任何一台计算机的每条多播或广播消息都将被提交至世界上的其它所有计算机，而整个Internet不久便会被浩如烟海的数据资料所吞没）。这样一来，通过多播或广播消息所实现的攻击便只能在攻击者所处的网段或子网范围内发挥效用。
这是否意味着两大弱点并不十分严重？
答案恰恰相反，上述两大弱点实属心腹之患。要知道，单一子网上可能存在着数以百计的计算机设备，而上述弱点则足以帮助攻击者仅通过单一NOTIFY指令，即可获得针对全体计算机设备的完整控制权限。为此，我们强烈建议广大客户尽快应用相关补丁程序实施自救。
企业防火墙是否足以抵御来自Internet的外来攻击？
答案是肯定的。大多数企业防火墙均可对多播消息和主动式单播消息发挥有效的阻断作用。与此同时，针对1900和5000两个端口实施阻断的处理方式也有助于保护企业网络系统免受基于Internet的外来攻击。
Internet连接防火墙（ICF）是否足以克服上述弱点？
由于攻击者为借助单播消息发起攻击，往往需要掌握目标系统的IP地址，因此，Internet连接防火墙（ICF）将可针对此类攻击提供某些保护措施。鉴于ICF可导致目标计算机无法针对端口扫描及其它获取IP地址的常用方法做出响应，为此，攻击者也就无从了解到所需IP地址，进而，无法针对目标计算机发送单播消息。
当然，这仍可使通过多播或广播而实施的攻击有隙可乘。由于攻击者不必掌握执行攻击所需IP地址，因此，ICF也就无法提供相关抵御措施。
上述弱点的影响范围究竟是包括可支持UpnP服务功能的所有系统，还是仅作用于Windows XP操作系统？
上述弱点只会对基于Windows XP的UpnP实现方式产生影响。
相关补丁程序具备哪些作用？
相关补丁程序可创建适当的缓冲区，以便在基于Windows XP操作系统的UpnP实现方式中执行特定处理操作，并在此基础上彻底消除上述弱点。
请谈一谈第二个弱点所涉及的具体范围？
第二个弱点基本属于由拒绝服务攻击所导致的情况。这个弱点可通过以下两种方式被加以利用——既可被用来针对单一计算机实施攻击，以达到降低系统性能或中断系统操作的目的；又可被应用于分布式拒绝服务攻击，以帮助攻击者使用多台计算机联合起来攻击其它计算机，并借助浩繁的数据资料将目标计算机淹没。
这个弱点无法被用来获取针对目标系统的完整控制权限——它所具备的唯一用途就是对合法用户的正当使用操作施加干扰。
什么是导致弱点产生的罪魁祸首？
计算机会针对是否存在任何已就所知设备类型登记注册过使用意向的应用程序执行检查。如果的确存在这样一个应用程序，那么，该计算机则会对由相关设备所发送的信息资料进行参考。要知道，这里所说的信息资料将包含一个通往可供下载设备描述（目标设备所能提供的服务列表及其请求调用说明）的URL。而计算机则将继续下载设备描述，并开始对目标设备加以应用。
计算机需要通过何种处理过程方可实现设备描述资料的定位与下载？
具备UpnP服务功能的计算机在收到一条NOTIFY指令时，会针对是否存在任何已就发送过NOTIFY指令的设备类型登记注册过使用意向的应用程序执行检查。如果的确存在这样一个应用程序，那么，该计算机便会对由相关设备所发送的NOTIFY指令进行参考。要知道，这里所说的NOTIFY指令将包含可被用来下载设备描述的计算机地址和端口编号。而计算机则可在此基础上与特定设备建立联系，并请求其提供相关设备描述信息。
UpnP服务功能针对设备描述实施处理的具体方式存在哪些问题？
这里共存在两个问题。首先，UpnP服务功能既无法对其所下载的设备描述信息容量加以限制，又不能对以设备描述信息之名义而传送来的数据资料是否合法有效进行校验。其次，UpnP服务功能亦无法执行适当操作步骤，以确保其所指向的硬件设备确系对应于相关设备描述的下载站点。
第一个问题可帮助攻击者在哪些方面得逞？
第一个问题可帮助攻击者仅仅出于降低用户系统性能或中断用户系统操作的目的而将用户系统发送至虚假的下载站点。
攻击者主要借助何种方式发起上述攻击？
这里的确存在着多种可供采用的攻击方式，但下面所阐述的手段则显得更加直截了当。假设攻击者已对运行着Echo（回显）服务功能的服务器有所了解。这里所说的Echo是一项标准TCP/IP服务，主要用来针对其所收到的指令或请求产生回应，而借助运行Echo服务的方式发现相关服务器设备的做法也属司空见惯之事。当然，如果实际情况下并不存在可供利用的服务器，那么，攻击者也可就其加以自行设置。
攻击者可针对用户系统发送NOTIFY指令，以便就具备UpnP服务功能的新设备进行广泛告知，并指示目标系统与Chargen服务器建立连接。于是，用户系统则将向目标服务器发送一条下载请求，而这仅仅是针对其所收到请求所给予的回应。UpnP服务可将此作为设备描述的组成部分加以诠释，并为获取更多文件内容而发送相关请求，当然，Chargen服务也会就此做出相应答复。上述循环将周而复始地持续下去，从而，导致用户系统处理资源和磁盘空间的严重浪费。
上述攻击行为是否会导致用户系统全面瘫痪？
攻击行为所造成的影响主要取决于特定情境，而两个系统所具备的相对处理能力和可用性、二者间的网络带宽及其它相关因素则是构成上述情境的主要方面。在最为理想的情况下，攻击行为只会导致系统性能表现呈降低趋势；而在最糟糕的情况下，攻击行为则会消耗掉全部系统资源，从而，使任何正当操作均无法得到执行。
用户将如何维持正常服务功能？
用户可通过停止并重新启动UpnP服务的方式来恢复正常服务功能。
第二个问题可帮助攻击者在哪些方面得逞？
第二个问题可促成与前述情况完全相反的攻击行为。与第一个问题为降低用户系统性能表现而将其作为攻击目标所不同的是，第二个问题将主要帮助攻击者纠集多个具备UpnP功能的系统联合发动分布式拒绝服务攻击，以期达到消耗单个第三方系统中全部可用资源的目的。
这种攻击方式将如何发挥作用？
如前所述，这里的确存在着多种可达成攻击目标的实现方式，但其中最为直截了当的一种则体现为，针对具备UpnP服务功能的所有计算机发送NOTIFY命令，并指使它们为获取设备描述信息共同与第三方服务器进行联系。如果攻击行为能够调动起足够数量的计算机，那些，下载请求总量必将成为导致第三方服务器性能降低或干脆被调用请求淹没的重大隐患。
除拒绝服务外，上述两种攻击方式中的任何一种是否还可帮助攻击者造成其它危害？
不会。上述两种攻击方式中的任何一种均无法使攻击者以任何形式获得针对目标设备的管理控制权限，同时，也不会对基于目标设备的数据资料安全性构成威胁。这两种攻击行为的适用范围严格受制于拒绝服务攻击。
上述攻击行为的发起是否同在第一种弱点中方式的一样，需要依赖单播、多播或广播手段予以实现？
是的。与前面所讨论的弱点相似，这里所说的攻击行为也可通过单播、多播或广播NOTIFY指令的方式得以启动。而前文围绕单播与多播/广播形式所展开的优势和劣势分析也同样全部适用于此：攻击者可使用单播消息提高操作针对性，但却需要以事先掌握目标计算机的IP地址为代价；攻击者还可借助多播或广播消息在无需了解目标计算机IP地址的前提下，对多台计算机实施攻击，但此种形式仍需以将袭扰计算机范围限定在与攻击者相同的网络部分内为代价。
相关补丁程序具备哪些作用？
补丁程序可通过采取以下措施，在其所作用的系统中改变UpnP服务功能针对设备描述进行处理的具体方式：
补丁程序可规定设备描述信息的容量上限，并确保系统无法接受超出容量限制的任何设备描述信息。与此同时，补丁程序还可指示UpnP服务功能对设备描述所包含的信息资料进行校验，并在此基础上拒收任何无效信息。这些措施将有助于消除第一种情境所造成的负面影响。
补丁程序还可形成有关检查机制，以便对下载位置的有效性加以确认，并确保目标系统不会持续尝试从同一位置反复下载设备描述信息。与此同时，补丁程序还可面向广大管理人员提供相关功能，以便就系统选择信息下载设备目标的操作实施管制。如需获取更多详情资料，请参阅第Q315056号知识库专题文章。
补丁程序还可在Windows XP操作系统上对网络设置进行更新。在补丁程序被应用于以Windows XP操作系统为基础的计算机上后，使用了从经过修补的Windows XP计算机上的ICS的Windows 98计算机便不再受到上述弱点的影响。（当然，在Windows XP补丁程序被应用前即已安装了ICS服务的任何Windows 98计算机仍将无法摆脱弱点的影响，并需要分别应用补丁程序）。

安全修补程序信息

其他信息：

致谢

Microsoft公司诚挚感谢就上述问题向我们进行报告、并与我们共同为广大客户提供安全保障的 eEye Digital Security（http://www.eeye.com）。

相关支持：

第Q315000号Microsoft知识库专题文章将就此问题展开讨论，并可望于本公告正式发布后的24小时内提供给广大读者。广大读者可通过Microsoft在线支持网站查找并下载知识库专题文章。
技术支持主要通过Microsoft产品支持服务提供。而与安全补丁程序相关的技术支持电话则是免费的。

安全资源：Microsoft TechNet Security网站可提供有关Microsoft产品安全特性的额外信息资料。

免责声明：

由Microsoft知识库所提供的任何信息资料均不具备任何形式的保证承诺。Microsoft对包括明示或暗示在内的所有保证承诺一概予以否认，这其中，针对特殊用途而提供的适销性保证也不例外。Microsoft 公司及其供应商在任何情况下均不承诺对任何直接、间接、偶然或滞后性商业收益减损或其它特定损失负责，这一点即使在Microsoft公司及其供应商已被告知损失可能性的前提下，也毫无例外可言。鉴于某些州并不允许对滞后性或偶然性损失加以掩护或限制，因此，上述限制性规定也存在着不被适用的可能。

修订记录：

1.0版（2001年12月20日）：生成公告。