這種攻擊利用了微軟公司在去年12月份公布和修正的一個(gè)WINS缺陷。但美國(guó)系統(tǒng)網(wǎng)絡(luò)安全協(xié)會(huì)互聯(lián)網(wǎng)風(fēng)暴中心在一份報(bào)告中表示,在利用該缺陷的計(jì)算機(jī)代碼于去年12月31日被發(fā)布在K-Otik Security網(wǎng)站后,在最近數(shù)天中對(duì)運(yùn)行WINS的計(jì)算機(jī)的掃描有顯著的增長(zhǎng)。
據(jù)K-Otik Security網(wǎng)站稱,該代碼使遠(yuǎn)程黑客能夠控制開啟WINS功能的Windows 2000服務(wù)器。據(jù)互聯(lián)網(wǎng)風(fēng)暴中心的技術(shù)總監(jiān)約翰尼斯稱,惡意黑客正在利用該缺陷在存在缺陷的系統(tǒng)上安裝特洛伊木馬程序或其它惡意代碼。
據(jù)微軟公司發(fā)布的公告稱,Windows NT Server 4.0和Windows Server 2003都存在WINS缺陷。WINS是微軟公司的將IP地址映射為計(jì)算機(jī)NetBIOS名字的技術(shù)。
約翰尼斯表示,自利用該缺陷的代碼被發(fā)布到K-Otik網(wǎng)站后,互聯(lián)網(wǎng)風(fēng)暴中心就發(fā)現(xiàn)了來(lái)自少量互聯(lián)網(wǎng)主機(jī)的掃描,但還沒有發(fā)現(xiàn)有計(jì)算機(jī)因此而受到攻擊。
研究和教育網(wǎng)絡(luò)信息共享分析中心(ISAC)也注意到,從12月31日開始,對(duì)監(jiān)聽TCP端口42數(shù)據(jù)流量的計(jì)算機(jī)的掃描有顯著增長(zhǎng)。
約翰尼斯表示,在缺省狀態(tài)下,Windows NT計(jì)算機(jī)上的WINS是開啟的,但在Windows 2000、Windows 2003計(jì)算機(jī)上是關(guān)閉的,這可能也是這一攻擊沒有造成太大影響的原因。
沒有安裝微軟公司相應(yīng)補(bǔ)丁軟件的用戶應(yīng)當(dāng)立即安裝補(bǔ)丁軟件。另外,用戶還應(yīng)當(dāng)關(guān)閉WINS功能,它已經(jīng)被活動(dòng)目錄技術(shù)所取代。約翰尼斯說(shuō),關(guān)閉的服務(wù)總是最安全的。