关于WindowsRPCDCOM接口堆缓冲区溢出漏洞的安全公告

　　微软的Windows操作系统的RPC接口又发现存在多个远程安全漏，入侵者可以使用这些漏洞取得本地系统权限workstation下载。该漏洞的危害

　　程度与上月的RPC漏洞情况相同workstation下载。(注意：这个漏洞跟8月份出现的冲击波(MSBlaster)和冲击波杀手(Nachi)所用的漏洞不同，补

　　丁kB823980对该漏洞无效)

　　漏洞的详情参见

　　

　　影响系统：

　　Microsoft Windows NT Workstation 4.0

　　Microsoft Windows NT Server? 4.0

　　Microsoft Windows NT Server 4.0, Terminal Server Edition

　　Microsoft Windows 2000

　　Microsoft Windows XP

　　Microsoft Windows Server 2003

　　漏洞描述：

　　 Remote Procedure Call (RPC)是Windows 操作系统使用的一种远程过程调用协议workstation下载，RPC提供进程间交互通信机制，允许在

　　某台计算机上运行程序的无缝地在远程系统上执行代码workstation下载。协议本身源自开放软件基金会的 RPC协议，Microsoft在其基础上增加

　　了自己的一些扩展workstation下载。

　　 Microsoft的RPC部分在通过TCP/IP处理信息交换时存在多个远程堆缓冲区溢出问题workstation下载，远程攻击者可以利用这些漏洞以本地系

　　统权限在系统上执行任意指令workstation下载。

　　 这些漏洞是由于不正确处理畸形消息所致，漏洞实质上影响的是使用RPC的DCOM接口workstation下载。此接口处理由客户端机器发送给服务

　　器的DCOM对象激活请求(如UNC路径)workstation下载。攻击者通过向目标发送畸形RPC DCOM请求来利用这些漏洞。成功利用此漏洞可以以本地系

　　统权限执行任意指令workstation下载。攻击者可以在系统上执行任意操作 ，如安装程序、查看或更改、删除数据或创建系统管理员权限的帐

　　户workstation下载。

　　 攻击者可以通过 135(UDP/TCP), 137/UDP, 138/UDP, 139/TCP, 445(UDP/TCP), 593/TCP端口进行攻击workstation下载。对于启动了

　　COM Internet服务和RPC over 下载。

　　风险度：高

　　漏洞危害：

　　 这个漏洞的危害不亚于MS03-026中描述的RPC漏洞

workstation下载。

　　 此漏洞可以通过135(TCP/UDP)、139、445、593等端口发起攻击

workstation下载。由于Windows的DCOM实现在处理一个参数的时候没有检查长

　　度

workstation下载。通过提交一个超长（数百字节）的文件名参数可以导致堆溢出，从而使RpcSS 服务崩溃。精心构造提交的数据就可以在系统

　　上以本地系统权限运行代码

workstation下载。攻击者可以在系统中采取任何行为，包括安装程序， 窃取更改或删除数据，或以完全权限创建

　　新帐号

workstation下载。

　　 鉴于处理上一个RPC漏洞的经验以及该漏洞的危害程度

workstation下载，在近期可能就会出现针对该漏洞的攻击代码及蠕虫病毒，如果不引起

　　足够的重视，可能仍然会像Nachi蠕虫一样对网络造成致命的打击

workstation下载。

　　解决办法：

　　 针对以上漏洞

workstation下载，CCERT建议用户对您的机器采取以下措施：

　　1、下载安装相应的补丁程序：

　　 由于这个漏洞跟8月冲击波(MSBlaster)和冲击波杀手(Nachi)所用的漏洞不同

workstation下载，补丁KB823980及sp4对该漏洞无效，针对该漏

　　洞微软已经发布了相应的安全公告与补丁程序

workstation下载，你可以到我们的网站下载，由于这个漏洞影响重大，我们建议您马上下载补丁程

　　序并安装：

　　winnt Workstation 4.0 补丁：

　　中文版

　　

　　英文版

　　

　　win2000补丁：

　　中文版

　　

　　英文版

　　

　　winxp补丁：

　　中文版

　　

　　英文版

　　

　　win2003补丁：

　　中文版

　　

　　英文版

　　2、使用防火墙阻断如下端口：

　　 135/UDP 137/UDP 138/UDP 445/UDP 135/TCP 139/TCP 445/TCP 593/TCP

　　3、如果因为某些原因无法打补丁或确实不能阻塞上述端口可以考虑暂时禁用DCOM：

　　 打开“控制面板“-->“管理工具“-->“组件服务“

workstation下载。

　　 在“控制台根目录“树的“组件服务“-->“计算机“-->“、我的电脑“上单击 右键，选“属性“

workstation下载。

　　 选取“默认属性“页，取消“在此计算机上启用分布式 COM“的复选框

workstation下载。

　　 点击下面的“确定“按钮，并退出“组件服务“

workstation下载。

　　 注意：禁用DCOM可能导致某些应用程序运行失败和系统运行异常

workstation下载。包括一些重要系统服务不能启动，所以不推荐此种方

　　法

workstation下载。应尽量根据上面的介绍打补丁或使用防火墙阻塞端口来确保系统安全。

　　注意：

　　 1、补丁KB823980及sp4对该漏洞无效,必须要要下载这次的补丁

　　 2、由于DCOM已经被镶嵌到window的内核当中

workstation下载，因此我们不建议您使用禁用DCOM的方法来防止该漏洞被利用，因为禁用DCOM可

　　能会导致您的系统出现许多未知的错误