{
var Author="80sec";
var Email="kEvin#80sec.com".replace("#","@")
var Site="http://www.80sec.com";
var Date=new Date(2009,4,24).toLocaleString();
var Reference=http://www.80sec.com/Microsoft-Internet-Infomation-Server-6-ISAPI-filename-analytic-Vulnerabilitie.html; return Reference;
}
/*
漏洞描述:
IIS6 (Internet Infomation Server 6.0) 是微软出品的一款WEB服务器系统, 广泛用于各种个人/商业信息发布/网站架设领域。80sec在测试中发现, IIS设计上在处理畸形文件名的时候存在一个严重的安全漏洞, 可能绕过web程序的逻辑检查从而能导致服务器以IIS进程权限执行任意恶意用户定义的脚本, 黑客可以通过制造畸形的服务器文件来触发该 漏洞, 并从而控制服务器.
漏洞厂商:
Microsoft [ http://www.microsoft.com ]
漏洞测试:
Undefined
解决方案:
等待微软更新官方补丁.
来源:80sec.com
进入Windows 2008系统,备份以下两个文件:
%windir%\System32\licensing\pkeyconfig\pkeyconfig.xrm-ms
%windir%\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\SoftwareLicensing\tokens.dat
或执行以下批处理:
@echo off
echo 请在管理员administrator下运行
echo. & pause
echo 备份原始激活文件到备份文件夹
md 备份
copy %windir%\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\SoftwareLicensing\tokens.dat 备份\tokens.dat
copy %windir%\System32\licensing\pkeyconfig\pkeyconfig.xrm-ms 备份\pkeyconfig.xrm-ms
echo 完成备份!
echo. & pause
下次再使用的时候,进入WinPE(必须是支持Windows 2008的PE),将之前备份的文件复制到以上两个文件的源系统目录即可!
@echo off
echo 请在管理员administrator下运行
echo. & pause
echo 备份原始激活文件到备份文件夹
md 备份
copy %windir%\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\SoftwareLicensing\tokens.dat 备份\tokens.dat
copy %windir%\System32\licensing\pkeyconfig\pkeyconfig.xrm-ms 备份\pkeyconfig.xrm-ms
echo 关闭Software Licensing服务
net stop slsvc
echo 取得原始激活文件的权限并删除
takeown /f %windir%\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\SoftwareLicensing\tokens.dat
takeown /f %windir%\System32\licensing\pkeyconfig\pkeyconfig.xrm-ms
cacls %windir%\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\SoftwareLicensing\tokens.dat /t /e /g administrator:f
cacls %windir%\System32\licensing\pkeyconfig\pkeyconfig.xrm-ms /t /e /g administrator:f
del %windir%\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\SoftwareLicensing\tokens.dat
del %windir%\System32\licensing\pkeyconfig\pkeyconfig.xrm-ms
echo copy激活文件到系统文件夹
copy tokens.dat %windir%\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\SoftwareLicensing\tokens.dat
copy pkeyconfig.xrm-ms %windir%\System32\licensing\pkeyconfig\pkeyconfig.xrm-ms
echo 开启Software Licensing服务
net start slsvc
start %windir%\System32\licensing\pkeyconfig\
start %windir%\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\SoftwareLicensing\
echo 更改产品密钥
SLMGR.VBS -ipk 这里填写你的CD-KEY
echo 完成激活!
echo. & pause
以上批处理是用备份文件进行Windows 2008的激活操作。
企业用户:可继续享受服务
根据微软对于XP系统的标准政策,处于主流支持服务阶段的产品,可以提供免费修复,包括安全补丁、漏洞修复等技术支持。而被终止主流支持服务的产品,将进入“延展支持服务期(ExtendedSup-port)”。也就是说,从即日起,微软将仅向与它签署了服务支持合同的企业提供XP系统的热点安全问题修复方案,普通用户无法再从微软官方WindowsXP处得到最新补丁和修复。
普通用户:更新系统到最新
在微软停止XP系统的技术支持之后,WindowsXP的系统还能正常使用,但因为不再有系统补丁的更新,将特别容易受到漏洞的攻击。因此,如果是正版WindowsXP的用户,可以选择更新系统至最新,并安装所有系统补丁。在对系统做好最大可能的更新之后,使用强力的杀毒软件和防火墙,如卡巴斯基杀毒套装、COMODO防火墙等等,并注意进行随时的更新,以防范最新的木马和病毒。
如果是非正版XP的个人用户,那么可以选择第三方软件,如360安全卫士、瑞星杀毒软件等等进行系统补丁的更新安装。在尽可能地完善系统之后,再对系统的杀毒软件和防火墙进行更新至最新数据库。
同时,为了减少病毒感染可能,建议个人用户不要浏览非正规网站,也不要接受解压不能肯定其安全性的文件,以免感染病毒和木马。同时,定期备份个人数据和私密文件至移动硬盘中,以免丢失。
完美主义者:转用其他系统
对于一些电脑配置较好的个人来说,他们还有一个选择,就是像微软所希望的那样,开始使用 WindowsVista或者是Windows7系统。目前WindowsVista的最新版本已经在软件兼容性方面有了较大改善,如果对于 WindowsVista实在不“感冒”,那么就去用被称为改良版WindowsVista的Windows7系统。目前最新的 Windows7Build7077RC预览版等等都还是免费使用,但因为还不是正式版,所以请谨慎使用。
总之,无论如何,在XP进入半退休状态后,要首先对系统进行尽可能完善,然后再使用强悍的防火墙和杀毒软件尽可能地防止病毒和木马的入侵。(本文来源:南方都市报)
消息称微软向OEM商延长配售Windows XP有效期至2010年4月30日
传微软已经授权惠普继续在其新生产的台式机、笔记本等产品上安装已经有将近8年历史的Windows XP操作系统,而该授权的有效期将为一年。
而最新的Office 2007则没有受到威胁。
微软公司目前已经发现了一些有限的、针对特定的目标的攻击。丹麦安全公司Secunia将该漏洞列为“极度危急”级别,这是最高的危险级别。
Secunia公司表示,这个漏洞是“当访问某个特定的PowerPoint文件时发生未知错误而访问内存中的无效对象而引起的。”
微软公司建议用户不要随意打开或保存来源不明的Office文件。当文件被打开的时候,用户将很难判断它是不是一个恶意文件。
微软恶意软件防护中心博客称,“通常这些文件看起来没有任何问题,很容易麻痹用户,使他们根本不会注意到恶意代码正在后台运行。”
黑客们现在正在努力发掘常用软件的漏洞,这是除了寻找操作系统漏洞之外的另一条散播恶意软件的大道。
微软公司称,被黑客控制的电脑将从某个网页上下载恶意文件到本地,或是暗中通过e-mail向外发送本机的文件。微软已经在在自家的Windows Live OneCare和Forefront Client Security安全软件中添加了一个数字签名以阻止通过PowerPoint漏洞发起的攻击,该签名包含于1.55.975.0或更新版本的软件更新中。
微软公司表示恶意文件样本已经被提交给VirusTotal网站,一家集成了多种反病毒引擎的安全网站。恶意文件样本将被提交检查,来考察哪个安全软件能够检测到它。该网站经常被黑客们用来检查自己的恶意软件会不会被安全软件拦截。
随即在网上搜索关键字“未能打开组策略 系统找不到指定的路径”,确定了此类问题的原因是丢失了下面任何一个文件夹结构:
• %SystemRoot%\Sysvol\Sysvol\DomainName
• %SystemRoot%\Sysvol\Sysvol\DomainName\Policies
• %SystemRoot%\Sysvol\Sysvol\DomainName\Policies\{GUID}
• %SystemRoot%\Sysvol\Sysvol\DomainName\Policies\{GUID}\Machine
• %SystemRoot%\Sysvol\Sysvol\DomainName\Policies\{GUID}\User
解决的办法如下:
1、在“开始”->“管理工具”中,启动“Active Directory 用户和计算机”管理单元。
2、在“查看”菜单中,单击“高级功能”。
3、单击DomainName下的“System”文件夹旁的加号 (+)。
4、单击“Policies”文件夹旁的加号 (+)。
这时,可以看到组策略对象(GPO)的GUID列表,将"Sysvol\DomainName\Policies\"中的{GUID}列表与之对比,发现少了几个,手动创建少掉的几个{GUID}文件夹后,再次打开“本地域控制器安全策略”,就不再报错了,修复成功。
需要注意的是,一定要将所有缺少的{GUID}手动创建完成。
