欢迎进入反病毒社区论坛，与技术人员互动交流进入
受影响系统：
Microsoft Windows XP SP3
Microsoft Windows XP SP2
Microsoft Windows Vista SP1
Microsoft Windows Vista
Microsoft Windows Server 2008
Microsoft Windows Server 2003 SP2
Microsoft Windows Server 2003 SP1
Microsoft Windows 2000SP4
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 7385
CVE(CAN) ID: CVE-2008-4037

Windows是微软发布的非常流行的操作系统。

当用户连接到攻击者的SMB服务器时，Microsoft服务器消息块（SMB）协议处理NTLM凭据的方式存在远程代码执行漏洞，允许攻击者重放用户凭据，并在登录用户的下文中执行代码。如果用户使用管理用户权限登录，成功利用此漏洞的攻击者便可完全控制受影响的系统。攻击者可随后安装程序；查看、更改或删除数据，或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

<*来源：Salman Niksefat （salman@linux.ce.aut.ac.ir）
Haamed Gheibi （haamed@linux.ce.aut.ac.ir）

链接：http://secunia.com/advisories/32633/
http://blogs.technet.com/swi/archive/2008/11/11/smb-credential-reflection.aspx
http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx?pf=true
http://www.us-cert.gov/cas/techalerts/TA08-316A.html
*>

测试方法：
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://seclab.ce.aut.ac.ir/samba-exp/exploit/backrush.patch

建议：
--------------------------------------------------------------------------------
临时解决方法：

* 在防火墙处阻止TCP 139和445端口。

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS08-068）以及相应补丁:
MS08-068：Vulnerability in SMB Could Allow Remote Code Execution (957097)
链接：http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx?pf=true
www.china-antivirus.com