MIME简介及漏洞

/ns/wz/net/data/20030323234714.htm

1.MIME简介
����MIME(Multipurpose Internet Mail Extentions)，一般译作“多用途的网络邮件扩充协议”。顾名思义，它可以传送多媒体文件，在一封电子邮件中附加各种格式文件一起送出。现在它已经演化成一种指定文件类型(Internet的任何形式的消息：E-mail，Usenet新闻和Web)的通用方法。在使用CGI程序时你可能接触过MIME类型，其中有一行叫作Content-type的语句，它用来指明传递的就是MIME类型的文件(如text/html或text/plain)。

����2.错误的MIME头漏洞的发现
����该漏洞是由一个国外安全小组发现的，该小组发现MIME在处理不正常的MIME类型时存在这个问题，攻击者可以创建一个Html格式的E-mail，该E-mail的附件为可执行文件，通过修改MIME头，使IE不能正确处理这个MIME所指定的可执行文件附件。在此，我们来了解一下，IE是如何处理附件的：一般情况下如果附件是文本文件，IE会读它，如果是VIDEO CLIP，IE会查看它；如果附件是图形文件，IE就会显示它；如果附件是一个EXE文件呢？IE会提示用户是否执行！但令人恐惧的是，当攻击者更改MIME类型后，IE就不再提示用户是否执行而直接运行该附件！从而使攻击者加在附件中的程序、攻击命令能够按照攻击者设想的情况进行。大家不妨想像一下，如果前面提到的wincfg.exe不是木马，而是恶意程序，江民炸弹又会怎么样？刹那间，你的硬盘就完蛋了(如果你不懂解法的话)！在Win9X\ME以及WinNT4和Win2000下的Internet Explorer 5.0、5.01、5.5均存在该漏洞，我们常用的微软邮件客户端软件Outlook Express也存在此漏洞。

����3.错误的MIME头漏洞的危害
����让我们来看一下如果把上面所说的代码中最后这部分变为下面这样，会产生什么结果呢？

����……

����Content-Type: audio/x-wav��

����name="hello.vbs"

����Content-Transfer-Encoding: quoted-printable

����Content-ID:

����msgbox(“你的计算机好危险哦”)

说明：在此可加上任意的VBS的代码

����……

����将该程序编辑存为eml格式的文件，我们运行它，可以看到屏幕上打开一个窗体，显示“你的计算机好危险哦”。对于这种利用错误的MIME头漏调用VBS文件的形式，会有多大危害呢？想一想，当初的爱虫病毒是怎么样的？爱虫病毒还需要骗你执行才使你中毒，但一旦和错误MIME头漏洞结合起来，就根本不需要你执行了，只要你收了这封信且阅读了它，你就中招了。现在流行的欢乐时光病毒很可怕吧？如果它和错误的MIME头漏洞结合，后果会怎样，你能告诉我吗？

����不仅如此，MIME还可以与command、cmd命令相结合，进行进一步的攻击。

����对于Win9X用户来说，只要你的IE浏览器是5.0、5.01、5.5之中的任意一个版本，在没打补丁的情况下，攻击者完全可以利用欺骗的方式让你打开含有攻击命令的、带有错误MIME头的E-mail文件，达到攻击的目的。事实上，format、deletetree、move等一切MS-DOS下的命令均可加载其中。

����而对于WinNT、Win2000用户，尤其是那些不安分守己且网络安全知识贫乏的系统管理员，利用公司的主服务器上网，攻击者可以给他发封信，然后利用在以上所示代码中加上诸如：

����net user test 1234567/add

����net localgroup administrators test/add

����这样的命令增加用户或者超级用户权限，达到进一步入侵的目的。

=========================
文章类型:转载 提交:匿名 核查:NetDemon