Windows2000/NT常见漏洞分析(2)

其次，您要检测网络中某IP段的Unicode漏洞情况，可使用有如Red.exe、SuperScan、RangeScan扫描器、Unicode扫描程序Uni2.pl及流光Fluxay4.7和SSS等扫描软件来检测。

4．解决方法

若网络内存在Unicode漏洞，可采取如下方法进行补救：

（1）限制网络用户访问和调用CMD命令的权限；
（2）若没必要使用SCRIPTS和MSADC目录，删除或改名；
（3）安装Windows NT系统时不要使用默认WINNT路径，您可以改为其他的文件夹，如C:\mywindowsnt；
（4）用户可从如下地址下载Microsoft提供的补丁

http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp为IIS 4.0的补丁地址，
http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp为IIS 5.0补丁地址。

二、.ida/.idq缓冲区溢出漏洞

1．漏洞危害及成因

作为安装IIS过程的一部分，系统还会安装几个ISAPI扩展.dlls，其中idq.dll是Index Server的一个组件，对管理员脚本和Internet数据查询提供支持。但是，idq.dll在一段处理URL输入的代码中存在一个未经检查的缓冲区，攻击者利用此漏洞能导致受影响服务器产生缓冲区溢出，从而执行自己提供的代码。更为严重的是，idq.dll是以System身份运行的，攻击者可以利用此漏洞取得系统管理员权限。

2．解决方法

用户可以分http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800处下载补丁，或删除对.idq和.ida的脚本映射。如果其他系统组件被增删，有可能导致该映射被重新自动安装。

注意：安装Index Server或Index Services而没有安装IIS的系统无此漏洞；另外，即使Index Server/Indexing Service没有开启，但是只要对.idq或.ida文件的脚本映射存在，攻击者也能利用此漏洞。受影响平台有Windows NT 4.0、Windows 2000、Windows XP beta; 受影响的版本有Microsoft Index Server 2.0、Indexing Service in Windows 2000。

三、Microsoft IIS CGI 文件名错误解码漏洞

1．漏洞危害及成因

IIS在加载可执行CGI程序时，会进行两次解码。第一次解码是对CGI文件名进行Http解码，然后判断此文件名是否为可执行文件，如检查后缀名是否为“.exe”或“.com”等。在文件名检查通过之后，IIS会进行第二次解码。