本内容由Nsfocus安全小组提供
受影响的软件及系统:
====================
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
未受影响的软件及系统:
======================
Microsoft Windows Millennium Edition
Microsoft Windows 98
综述:
======
微软的Windows操作系统的RPC接口又发现存在多个远程安全漏洞,入侵者可以使用这些漏洞取得系统的local system权限。
我们强烈建议用户立刻检查一下您的系统是否受此漏洞影响,并按照我们提供的解决方法予以解决。
分析:
======
Remote Procedure Call (RPC)是Windows 操作系统使用的一种远程过程调用协议,RPC提供进程间交互通信机制,允许在某台计算机上运行程序的无缝地在远程系统上执行代码。协议本身源自开放软件基金会的 RPC协议,Microsoft在其基础上增加了自己的一些扩展。
Microsoft的RPC部分在通过TCP/IP处理信息交换时存在多个远程堆缓冲区溢出问题,远程攻击者可以利用这些漏洞以本地系统权限在系统上执行任意指令。
这些漏洞是由于不正确处理畸形消息所致,漏洞实质上影响的是使用RPC的DCOM接口。此接口处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。攻击者通过向目标发送畸形RPC DCOM请求来利用这些漏洞。成功利用此漏洞可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作 ,如安装程序、查看或更改、删除数据或创建系统管理员权限的帐户。
这些漏洞分别是由NSFOCUS/Nessus/eEye独立发现,其中NSFOCUS和Nessus发现的堆溢出是由于对文件名长度缺乏检查导致的(CAN-2003-0528),eEye发现的堆溢出是由于对报文的长度域缺乏检查导致的(CAN-2003-0715)。
攻击者可以通过 135(UDP/TCP), 137/UDP, 138/UDP, 139/TCP, 445(UDP/TCP), 593/TCP端口进行攻击。对于启动了COM Internet服务和RPC over HTTP的用户来说,攻击者还可能通过80/TCP和443/TCP端口进行攻击。
基于这些漏洞的严重性,我们有理由相信很快会有针对这些漏洞的攻击事件发生,因此我们建议所有使用受影响系统的用户尽快安装微软提供的安全补丁。微软已经在其安全公告MS03-039中提供了安全补丁以修复上述漏洞。
解决方法:
==========
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 使用防火墙阻塞至少下列端口:
135/UDP
137/UDP
138/UDP
445/UDP
135/TCP
139/TCP
445/TCP
593/TCP
在受影响主机禁用COM Internet服务和RPC over HTTP。
* 如果因为某些原因确实不能阻塞上述端口,可以考虑暂时禁用DCOM:
打开"控制面板"-->"管理工具"-->"组件服务"。
在"控制台根目录"树的"组件服务"-->"计算机"-->"、我的电脑"上单击
右键,选"属性"。
选取"默认属性"页,取消"在此计算机上启用分布式 COM"的复选框。
点击下面的"确定"按钮,并退出"组件服务"。
注意:禁用DCOM可能导致某些应用程序运行失败和系统运行异常。包括一些重要系统服务不能启动,不推荐此种方法。应尽量根据上面的介绍使用防火墙阻塞端口来确保系统安全。
厂商状态:
==========
Windows NT Workstation 4.0:
http://www.microsoft.com/downloads/details.aspx?FamilyId=7EABAD74-9CA9-48F4-8DB5-CF8C188879DA&displaylang=zh-cn
Windows NT Server 4.0:
http://www.microsoft.com/downloads/details.aspx?FamilyId=71B6135C-F957-4702-B376-2DACCE773DC0&displaylang=zh-cn
Windows NT Server 4.0, Terminal Server Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=677229F8-FBBF-4FF4-A2E9-506D17BB883F
Windows 2000:
http://www.microsoft.com/downloads/details.aspx?FamilyId=F4F66D56-E7CE-44C3-8B94-817EA8485DD1&displaylang=zh-cn
Windows XP 64 bit Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=50E4FB51-4E15-4A34-9DC3-7053EC206D65
Windows XP 64 bit Edition Version 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=80AB25B3-E387-441F-9B6D-84106F66059B
Windows Server 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=51184D09-4F7E-4F7B-87A4-C208E9BA4787&displaylang=zh-cn
Windows Server 2003 64 bit Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=80AB25B3-E387-441F-9B6D-84106F66059B
对于Windows 2000用户,我们建议您安装完Windows 2000 SP4之后再安装上述补丁:
http://www.microsoft.com/Windows2000/downloads/servicepacks/sp4/download.asp
对于Windows NT 4.0用户,我们建议您安装完SP6a之后再安装上述补丁:
http://www.microsoft.com/NTServer/nts/downloads/recommended/SP6/allsp6.asp
网友评论