安全补丁MS09-008发布后，很多人表示该更新中的WPAD(CVE-2009-0093)并没有效，但是实际上这是个很重要的更新，用户必须尽快修复该补丁。本文中我们将解析完整安全更新如何保护系统的问题。

　　这个安全更新解决了很多不同的漏洞问题，以抵御不同攻击媒介：

　　1. DNS服务器查询验证漏洞(CVE-2009-0233)

　　2. DNS服务器相应验证漏洞(CVE-2009-0234)

　　3. WPAD注册中的DNS服务器漏洞(CVE-2009-0093)

　　4. WPAD WINS服务器注册漏洞(CVE-2009-0094)

　　我们将深入探讨这些漏洞，先从验证漏洞开始，然后深入讨论WPAD注册问题。

　　DNS服务器查询和相应验证漏洞

　　CVE-2009-0233和CVE-2009-0234是两个严重漏洞，攻击者可以利用这两个漏洞通过发布专门制作的DNS查询以欺骗DNS响应。

　　DNS交易ID是识别单个DNS交易的唯一标识，DNS服务器使用该ID来确定对查询的响应是否为合法，当交易ID是可预见时，攻击者就可以欺骗对服务器发出的DNS查询的有效响应，这样就能向DNS缓存引入任意地址。

　　在这两个漏洞中，服务器并没有缓存特定类型的DNS响应，从而使攻击者能够让DNS服务器不断要求特定资源记录(RR，Resource Record)，这样攻击者就能够找出正确的交易ID和源端口组合并成功欺骗响应。该安全更新可以解决这个问题，通过提高DNS缓存和重复使用对这些特定类型查询的能力。

　　WPAD注册中的DNS服务器漏洞

　　CVE-2009-0093 发现了这样的问题，即攻击者可以如何滥用Web Proxy Auto-Discovery(WPAD)以及Intra-Site Automatic Tunnel Addressing Protocol(ISATAP)。

　　这通常涉及地方域攻击，在域成员之间存在一定程度的信任关系，Windows DNS服务器可以让客户端使用动态更新注册在DNS服务器上的主机名。最常见的情况下，这通常需要使用安全动态更新，当客户端在域进行身份验证时可以更新其在DNS服务器上的名称。如果WPAD或者ISATAP名称还没有注册，域验证后的用户可以将自己的机器注册为这两个名字中任何一个。

　　为什么说ISATAP和WPAD是攻击者选择注册的名称呢?这是因为这两个默认名称通常被认为是客户端用来解决获取具体功能问题的，WPAD可以告诉主机如何为代理服务器配置信息进行连接，而ISATAP指向连接Ipv6主机和IPV4网络的隧道服务器。

　　WPAD通常是作为公用的企业级功能，正因为如此，微软公司在发布这个更新时也特别小心，因为既要保护客户，又不能破坏客户依赖的功能。

　　这个安全更新可以通过在DNS服务器上阻止列表来保护客户，这个阻止列表包含DNS服务器不再解决的功能名称列表，该列表按照以下注册表项部署：

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\QueryBlockList

　　如果当安装该安全更新时发现WPAD和ISATAP名称并没有被注册，阻止列表将会添入这两个名称，当客户端对这些名称发送查询时，DNS服务器将会返回否定答复，即使当攻击者已经注册了这两个名称。

　　然而，如果当安全更新之前DNS服务器已经有了WPAD或者ISATAP的表项，那么这两个名称将不会被列入阻止列表，并将继续回复响应。例如，如果DNS服务器有一个资源记录配置命名为WPAD，安全更新只会将ISATAP加入阻止列表，如果DNS服务器没有配置WPAD或者ISATAP，阻止列表将会包含这两个名称。

　　这样做是很有必要的，因为很多windows用户合法地使用这个功能，部署阻止列表可以在所有情况下阻止这些名称，需要管理员手动删除将会破坏这些配置。

　　有一名安全研究人员提出这样的顾虑，攻击者可能已经通过动态DNS更新引入了恶意WPAD表项，当发生类似攻击后再安装这个安全更新时，WPAD名称将不会被列入阻止列表，而攻击也将继续有效。

　　这不是微软公司发布这些安全更新或者任何安全更新旨在解决的问题，安全更新旨在帮助保护系统免受未来攻击，而不能阻止正在进行或者已经发生的攻击，这些工薪并不能积极改变目前的配置。当安全这些更新时，并没有办法知道是否已经由管理员或者攻击者配置了WPAD表项。

　　担心这种问题发生的用户可以验证分配给DNS区域中现有WPAD或者ISATAP条目的IP地址，通过使用DNS MMC管理单元：

　　1. 从管理工具组打开DNS MMC管理单元;

　　2. 展开“正向搜索区域”;

　　3. 对于每个区域，寻找Host (A)、IPv6 address (AAAA)或者Alias (CNAME)记录中有WPAD或者ISATAP的记录。

　　另外，在KB article 968732 中详细描述了DNS管理员如何在自己环境中手动编辑DNS阻止列表的过程。

　　WPAD WINS服务器注册漏洞

　　CVE-2009-0094 涵盖了与WPAD注册中DNS服务器漏洞相同的漏洞，但是使用的是WINS，WPAD配置客户端可以查询主机，通过找出WINS(而不是DNS)中的WPAD名称。这个安全更新将会部署WINS阻止列表，预先加入了WPAD、“WPAD”和“ISATAP”名称，除非这些名称已经位于现有WINS数据库中，WINS阻止列表通过下列注册表项部署：

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WINS\Parameters\QueryBlockList

　　用户可以使用WINS MMC管理单元来验证WPAD名称是否已经在WINS数据库中注册：

　　1. 从管理员工具组打开WINS MMC

　　2. 右键单击“Active Registrations”并选择“Display records”

　　3. 在“Record Mapping”选项卡选中“Filter records matching this name pattern”并输入“wpad”

　　任何WPAD名称注册都会显示在“Active Registrations”窗口中，如下所示：

　　KB article 968731 详细介绍了WINS管理员编辑WINS阻止列表的过程，请注意，WINS阻止列表与DNS列表是完全独立的，这两个阻止列表并不会在多个服务器上复制。

　　希望这篇文章解决了你想要了解的关于安全更新的问题，该安全更新解决了很多漏洞问题，IT专家网建议您尽快在电脑上修复该补丁。