微软的Windows操作系统的RPC接口又发现存在多个远程安全漏洞,入侵者可以使用这些
漏洞取得系统的local system权限。
我们强烈建议用户立刻检查一下您的系统是否受此漏洞影响,并按照我们提供的解决方
法予以解决。
受影响的软件及系统:
====================
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services
Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
不受影响系统:
====================
Microsoft Windows Millennium Edition
Microsoft Windows 98
漏洞概述:
========
CVE(CAN) ID: CAN-2003-0528
CVE(CAN) ID: CAN-2003-0715
Remote Procedure Call (RPC)是Windows 操作系统使用的一种远程过程调用协议,RPC
提供进程间交互通信机制,允许在某台计算机上运行程序的无缝地在远程系统上执行代
码。
协议本身源自开放软件基金会的 RPC协议,Microsoft在其基础上增加了自己的一些扩
展。
Microsoft的RPC部分在通过TCP/IP处理信息交换时存在多个远程堆缓冲区溢出问题,远
程
攻击者可以利用这些漏洞以本地系统权限在系统上执行任意指令。
这些漏洞是由于不正确处理畸形消息所致,漏洞实质上影响的是使用RPC的DCOM接口。
此接口处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。攻击者通过向
目标发送畸形RPC DCOM请求来利用这些漏洞。成功利用此漏洞可以以本地系统权限
执行任意指令。攻击者可以在系统上执行任意操作 ,如安装程序、查看或更改、删除
数据或创建系统管理员权限的帐户。
这些漏洞分别是由NSFOCUS/Nessus/eEye独立发现,其中NSFOCUS和Nessus发现的堆溢出
是由于对文件名长度缺乏检查导致的(CAN-2003-0528),eEye发现的堆溢出是由于对报
文的长度域缺乏检查导致的(CAN-2003-0715)。
攻击者可以通过 135(UDP/TCP), 137/UDP, 138/UDP,
139/TCP, 445(UDP/TCP),
593/TCP端口进行攻击。对于启动了COM Internet服务和RPC over
HTTP的用户来说,攻击者还可能通过80/TCP和443/TCP端口进行攻击。
基于这些漏洞的严重性,我们有理由相信很快会有针对这些漏洞的攻击事件发生,因此
我们建议所有使用受影响系统的用户尽快安装微软提供的安全补丁。微软已经在其安全
公告MS03-039中提供了安全补丁以修复上述漏洞。
解决方案:
==========
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 使用防火墙阻塞至少下列端口:
135/UDP
137/UDP
138/UDP
445/UDP
135/TCP
139/TCP
445/TCP
593/TCP
在受影响主机禁用COM Internet服务和RPC over HTTP。
* 如果因为某些原因确实不能阻塞上述端口,可以考虑暂时禁用DCOM:
打开"控制面板"-->"管理工具"-->"组件服务"。
在"控制台根目录"树的"组件服务"-->"计算机"-->"、我的电脑"上单击
右键,选"属性"。
选取"默认属性"页,取消"在此计算机上启用分布式
COM"的复选框。
点击下面的"确定"按钮,并退出"组件服务"。
注意:禁用DCOM可能导致某些应用程序运行失败和系统运行异常。包括一些重要系
统服务不能启动,绿盟科技不推荐此种方法。应尽量根据上面的介绍使用防火墙阻
塞端口来确保系统安全。
厂商解决方案:
Microsoft已经为此发布了一个安全公告(MS03-039)以及相应补丁:
MS03-039:Buffer Overrun In RPCSS Service
Could Allow Code Execution(824146)
链接:http://www.microsoft.com/technet/security/bulletin/MS03-039.asp
补丁下载:
Windows NT Workstation 4.0:
http://www.microsoft.com/downloads/details.aspx?FamilyId=7EABAD74-9CA9-48F4-
8DB5-CF8C188879DA&displaylang=zh-cn
Windows NT Server 4.0:
http://www.microsoft.com/downloads/details.aspx?FamilyId=71B6135C-F957-4702-
B376-2DACCE773DC0&displaylang=zh-cn
Windows NT Server 4.0, Terminal Server
Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=677229F8-FBBF-4FF4-
A2E9-506D17BB883F
Windows 2000:
http://www.microsoft.com/downloads/details.aspx?FamilyId=F4F66D56-E7CE-44C3-
8B94-817EA8485DD1&displaylang=zh-cn
Windows XP:
http://www.microsoft.com/downloads/details.aspx?FamilyId=5FA055AE-A1BA-4D4A-
B424-95D32CFC8CBA&displaylang=zh-cn
Windows XP 64 bit Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=50E4FB51-4E15-4A34-
9DC3-7053EC206D65
Windows XP 64 bit Edition Version 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=80AB25B3-E387-441F-
9B6D-84106F66059B
Windows Server 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=51184D09-4F7E-4F7B-
87A4-C208E9BA4787&displaylang=zh-cn
Windows Server 2003 64 bit Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=80AB25B3-E387-441F-
9B6D-84106F66059B
对于Windows 2000用户,我们建议您安装完Windows 2000 SP4之后再安装上述补丁:
http://www.microsoft.com/Windows2000/downloads/servicepacks/sp4/download.asp
对于Windows NT 4.0用户,我们建议您安装完SP6a之后再安装上述补丁:
http://www.microsoft.com/NTServer/nts/downloads/recommended/SP6/allsp6.asp
参考链接:
========
http://www.microsoft.com/technet/security/bulletin/MS03-039.asp
http://support.microsoft.com/?kbid=824146
http://www.nsfocus.net/index.php?act=advisory&do=view&adv_id=30
http://www.eeye.com/html/Research/Advisories/AD20030910.html
http://www.cert.org/advisories/CA-2003-23.html
|
手机注册成为会员,高速稳定下载在线观看下载大量情色电影!
最新病毒安全消息
