微软RPC新漏洞的分析与解决

　　漏洞名称:

　　Windows RPC DCOM 接口多个堆缓冲区溢出漏洞

　　受影响的软件及系统：

　　Microsoft Windows NT 4.0
　　Microsoft Windows NT 4.0 Terminal Services Edition
　　Microsoft Windows 2000
　　Microsoft Windows XP
　　Microsoft Windows Server 2003

　　未受影响的软件及系统：

　　Microsoft Windows Millennium Edition
　　Microsoft Windows 98

　　综述:

　　微软的Windows操作系统的RPC接口又发现存在多个远程安全漏洞，入侵者可以使用这些漏洞取得系统的local system权限。

　　我们强烈建议用户立刻检查一下您的系统是否受此漏洞影响，并按照我们提供的解决方法予以解决。

　　分析:

　　Remote Procedure Call (RPC)是Windows 操作系统使用的一种远程过程调用协议，RPC提供进程间交互通信机制，允许在某台计算机上运行程序的无缝地在远程系统上执行代码。协议本身源自开放软件基金会的 RPC协议，Microsoft在其基础上增加了自己的一些扩展。

　　Microsoft的RPC部分在通过TCP/IP处理信息交换时存在多个远程堆缓冲区溢出问题，远程攻击者可以利用这些漏洞以本地系统权限在系统上执行任意指令。

　　这些漏洞是由于不正确处理畸形消息所致，漏洞实质上影响的是使用RPC的DCOM接口。此接口处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。攻击者通过向目标发送畸形RPC DCOM请求来利用这些漏洞。成功利用此漏洞可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作 ，如安装程序、查看或更改、删除数据或创建系统管理员权限的帐户。

　　攻击者可以通过 135(UDP/TCP), 137/UDP, 138/UDP, 139/TCP, 445(UDP/TCP), 593/TCP端口进行攻击。对于启动了COM Internet服务和RPC over HTTP的用户来说，攻击者还可能通过80/TCP和443/TCP端口进行攻击。

　　基于这些漏洞的严重性，我们有理由相信很快会有针对这些漏洞的攻击事件发生，因此我们建议所有使用受影响系统的用户尽快安装微软提供的安全补丁。微软已经在其安全公告MS03-039中提供了安全补丁以修复上述漏洞。

　　解决方法:

　　如果您不能立刻安装补丁或者升级，建议您采取以下措施以降低威胁：

　　使用防火墙阻塞至少下列端口：

　　135/UDP
　　137/UDP
　　138/UDP
　　445/UDP

　　135/TCP
　　139/TCP
　　445/TCP
　　593/TCP

　　在受影响主机禁用COM Internet服务和RPC over HTTP。

　　如果因为某些原因确实不能阻塞上述端口，可以考虑暂时禁用DCOM：

　　打开"控制面板"-->"管理工具"-->"组件服务"。

　　在"控制台根目录"树的"组件服务"-->"计算机"-->"、我的电脑"上单击

　　右键，选"属性"。

　　选取"默认属性"页，取消"在此计算机上启用分布式 COM"的复选框。

　　点击下面的"确定"按钮，并退出"组件服务"。

　　注意：禁用DCOM可能导致某些应用程序运行失败和系统运行异常。包括一些重要系统服务不能启动，绿盟科技不推荐此种方法。应尽量根据上面的介绍使用防火墙阻塞端口来确保系统安全。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有