国家计算机病毒应急处理中心根据微软公司发布的通告,即关于RPC 接口中远程任意
可执行代码漏洞(823980),向计算机用户发出预警。如果成功利用此漏洞,攻击者就有
可能获得对远程计算机的完全控制,并以本地系统权限执行任意指令。攻击者可以在系统
上执行任意操作,如安装程序、查看或更改、删除数据、重新格式化硬盘或建立系统管理
员权限的帐户。
该漏洞受影响的软件:
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
漏洞描述
RPC中处理通过 TCP/IP 的消息交换的部分有一个漏洞。此问题是由错误地处理格式不正
确的消息造成的。这种特定的漏洞影响DCOM (分布式组件对象模型) 与 RPC 间的一个
接口,该接口侦听TCP/IP 端口135,用于处理由客户端机器发送给服务器的DCOM对象激活
请求(如UNC路径)。
该漏洞实际上是一个缓冲区溢出漏洞,成功利用此漏洞的攻击者有可能获得对远程计
算机的完全控制,可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作
,如安装程序、查看或更改、删除数据、重新格式化硬盘或建立系统管理员权限的帐户。
在利用该漏洞时,攻击者需要发送特殊形式的请求到远程机器上的135端口。从而造
成目标计算机受制于人,攻击者可以在它上面执行任意代码。
防范措施:
下载安装相应的补丁程序:
Winnt: ftp://ftp.bdwm.net/rpc_patch/patch-winnt.exe
Win2000: ftp://ftp.bdwm.net/rpc_patch/patch-win2000.exe
Winxp: ftp://ftp.bdwm.net/rpc_patch/patch-winxp.exe
Win2003: ftp://ftp.bdwm.net/rpc_patch/patch-win2003.exe
在防火墙上封堵不必要的端口
135端口用于启动与远程计算机的 RPC 连接。连接到Internet的计算机应当在防火墙
上封堵 135 端口,用以帮助防火墙内的系统防范通过利用此漏洞进行的攻击。
使用防火墙关闭所有不必要的端口,漏洞不仅仅影响135端口,还影响到大部分调用
DCOM函数的服务端口,建议用户使用网络或是个人防火墙过滤以下端口:
135/TCP epmap
135/UDP epmap
139/TCP netbios-ssn
139/UDP netbios-ssn
445/TCP microsoft-ds
445/UDP microsoft-ds
593/TCP http-rpc-epmap
593/UDP http-rpc-epmap
手动为计算机启用(或禁用) DCOM:
运行 Dcomcnfg.exe。
