多宝视服务论坛

近两天服务器受到攻击,不断自动重新启动,现打上了补丁(RPC)

galen 2003-08-12 18:42

http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp
摘要
本公告的目标读者:运行 Microsoft Windows 的用户。
漏洞的影响:运行攻击者选择的代码
最高严重等级:严重
建议:系统管理员应立即应用此修补程序。
受影响的软件:
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003

详细技术资料
技术说明:
远程过程调用 (RPC) 是 Windows 操作系统使用的一个协议。RPC 提供了一种进程间通信机制,通过这一机制,在一台计算机上运行的程序可以顺畅地执行某个远程系统上的代码。该协议本身是从 OSF(开放式软件基础)RPC 协议衍生出来的,只是增加了一些 Microsoft 特定的扩展。
RPC 中处理通过 TCP/IP 的消息交换的部分有一个漏洞。此问题是由错误地处理格式不正确的消息造成的。这种特定的漏洞影响分布式组件对象模型 (DCOM) 与 RPC 间的一个接口,此接口侦听 TCP/IP 端口 135。此接口处理客户端计算机向服务器发送的 DCOM 对象激活请求(例如通用命名约定 (UNC) 路径)。
为利用此漏洞,攻击者可能需要向远程计算机上的 135 端口发送特殊格式的请求。
减轻影响的因素:
为利用此漏洞,攻击者可能需要拥有向远程计算机上的 135 端口发送精心编造的请求的能力。对于 Intranet 环境,此端口通常是可以访问的;但对于通过 Internet 相连的计算机,防火墙通常会封堵 135 端口。如果没有封堵该端口,或者在 Intranet 环境中,攻击者就不需要有任何其他特权。
最佳做法是封堵所有实际上未使用的 TCP/IP 端口。因此,大多数连接到 Internet 的计算机应当封堵 135 端口。RPC over TCP 不适合在 Internet 这样存在着危险的环境中使用。像 RPC over HTTP 这样更坚实的协议适用于有潜在危险的环境。
要详细了解有关为客户端和服务器保护 RPC 的详细信息,请访问 http://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/writing_a_secure_rpc_client_or_server.asp。
要了解有关 RPC 使用的端口的详细信息,请访问:http://www.microsoft.com/technet/prodtechnol/windows2000serv/
reskit/tcpip/part4/tcpappc.asp
严重等级:
Windows NT 4.0: 严重
Windows NT 4.0 Terminal Server Edition: 严重
Windows 2000: 严重
Windows XP: 严重
Windows Server 2003: 严重
上面的评估是基于受漏洞影响的系统类型、典型的部署模式以及利用漏洞对它们产生的影响作出的。
漏洞标识符:CAN-2003-0352
测试过的版本:
Microsoft 对 Windows NT 4.0、Windows 2000、Windows XP 和 Windows Server 2003 进行了测试,以便评估它们是否受这些漏洞的影响。此前的版本不再受支持,它们可能会也可能不会受这些漏洞的影响。

常见问题解答
问:该漏洞的范围有多大?
答:这是一个缓冲区溢出漏洞。成功利用此漏洞的攻击者有可能获得对远程计算机的完全控制。这可能使攻击者能够对服务器随意执行操作,包括更改网页、重新格式化硬盘或向本地管理员组添加新的用户。
要发动此类攻击,攻击者需要能够向 RPC 服务发送一条格式不正确的消息,从而造成目标计算机受制于人,攻击者可以在它上面执行任意代码。
防范来自 Internet 的远程 RPC 攻击的最佳方法是:将防火墙配置为封堵 135 端口。RPC over TCP 不适合在 Internet 这样存在着危险的环境中使用。
问:此漏洞是由什么问题引起的?
答:此漏洞是由于 Windows RPC 服务在某些情况下不能正确检查消息输入而造成的。如果攻击者在 RPC 建立连接后发送某种类型的格式不正确的 RPC 消息,则会导致远程计算机上与 RPC 之间的基础分布式组件对象模型 (DCOM) 接口出现问题,进而使任意代码得以执行。
问:什么是 DCOM?
答:分布式对象模型 (DCOM) 是一种能够使软件组件通过网络直接进行通信的协议。DCOM 以前叫做“网络 OLE”,它能够跨越包括 Internet 协议(例如 HTTP)在内的多种网络传输。可以从以下网站查阅有关 DCOM 的详细信息:http://www.microsoft.com/com/tech/dcom.asp
问:什么是 RPC(远程过程调用)?
答:远程过程调用 (RPC) 是一种协议,程序可使用这种协议向网络中的另一台计算机上的程序请求服务。由于使用 RPC 的程序不必了解支持通信的网络协议的情况,因此 RPC 提高了程序的互操作性。在 RPC 中,发出请求的程序是客户程序,而提供服务的程序是服务器。
问:Microsoft 的“远程过程调用”(RPC) 实现过程存在什么问题?
答:RPC 中处理 TCP/IP 上的消息交换的部分存在一个缺陷。错误地处理格式不正确的消息会导致出现错误。这种特定的错误会影响底层的 DCOM 接口,此接口侦听 TCP/IP 端口 135。通过发送格式不正确的 RPC 消息,攻击者可以使一台计算机上的 RPC 服务出现问题,进而使任意代码得以执行。
问:这是 RPC 终结点映射器中的缺陷吗?
答:不是。尽管 RPC 终结点映射器侦听 TCP 端口 135,此缺陷实际上出现在 RPC 过程中的低级别 DCOM 接口中。RPC 终结点映射器允许 RPC 客户端确定当前分配给特定 RPC 服务的端口号。终结点是服务器应用程序在其上侦听有无远程过程调用的协议端口或命名管道。客户端/服务器应用程序可以使用已知的端口或动态端口。
问:攻击者可利用此漏洞做什么?
答:如果攻击者能够成功利用此漏洞,他将能够在受影响的系统上运行拥有本地系统特权的代码。攻击者将能够对系统执行任何操作,包括安装程序,查看、更改或删除数据,或者创建拥有完全权限的新帐户。
问:攻击者会如何利用此漏洞?
答:攻击者可以通过编程方式来寻求利用此漏洞,在一台能够通过 TCP 端口 135 与易受影响的服务器通信的计算机上,发送特定类型的、格式错误的 RPC 消息。接收此类消息会导致易受影响的计算机上的 RPC 服务出现问题,进而使任意代码得以执行。
问:哪些人可能利用该漏洞?
答:任何能够向受影响的计算机上的 135 端口发送 TCP 请求的用户都能利用此漏洞。因为 Windows 的各种版本中的 RPC 请求在默认情况下是打开的,这实际上意味着任何能够与受影响的计算机建立连接的用户都能利用此漏洞。
通过其他方法也可以访问受影响的组件,例如,通过以交互方式登录到受影响的系统,或使用一个类似的以本地或远程方式向受影响的组件传递参数的应用程序。
问:修补程序有什么用途?
答:修补程序修补此漏洞的方法是,修改 DCOM 接口,使之能够检查向它传递的信息。
解决方法
问:在我测试或评估此修补程序期间,是否有什么解决方法可用来防止利用此漏洞?
答:有。尽管 Microsoft 迫切希望所有客户尽早应用此修补程序,但在应用此程序之前,还是有许多解决方法可帮助阻止利用此漏洞。
须指出的是,这些解决方法仅是权宜之计,因为它们只是堵住了攻击途径,而没有从根本上消除漏洞。
以下几节旨在为您提供一些帮助计算机防范攻击的信息。每一节都介绍了一些解决方法,您可根据您的计算机配置灵活选用。
每一节都根据您需要的功能级别介绍可用的解决方法。
在防火墙上封堵 135 端口。
135 端口用于启动与远程计算机的 RPC 连接。在防火墙上封堵 135 端口,可以帮助防火墙内的系统防范通过利用此漏洞进行的攻击。
Internet 连接防火墙。
如果您在使用 Windows XP 或 Windows Server 2003 中的 Internet 连接防火墙来保护您的 Internet 连接,则默认情况下会阻止来自 Internet 的入站 RPC 通信信息。
禁用所有受影响的计算机上的 DCOM
如果一台计算机是一个网络的一部分,则该计算机上的 COM 对象将能够通过 DCOM 网络协议与另一台计算机上的 COM 对象进行通信。您可以禁用特定的计算机上的 DCOM,帮助其防范此漏洞,但这样做会阻断该计算机上的对象与其他计算机上的对象之间的所有通信。
如果您禁用一台远程计算机上的 DCOM,此后,您将无法通过远程访问该计算机来重新启用 DCOM。要重新启用 DCOM,需要本地操作该计算机。
手动为计算机启用(或禁用) DCOM:
运行 Dcomcnfg.exe
如果您在运行 Windows XP 或 Windows Server 2003,则还要执行下面这些步骤:
单击“控制台根节点”下的“组件服务”。
打开“计算机”子文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。
对于远程计算机,请以右键单击“计算机”文件夹,然后选择“新建”,再选择“计算机”。输入计算机名称。以右键单击该计算机名称,然后选择“属性”。
选择“默认属性”选项卡。
选择(或清除)“在这台计算机上启用分布式 COM”复选框。
如果您要为该计算机设置更多属性,请单击“应用”按钮以启用(或禁用) DCOM。否则,请单击“确定”以应用更改并退出 Dcomcnfg.exe。
获取修补程序
该修补程序的下载位置
Windows NT 4.0 Server
Windows NT 4.0 Terminal Server Edition
Windows 2000
Windows XP 32 位版本
Windows XP 64 位版本
Windows Server 2003 32 位版本
Windows Server 2003 64 位版本

有关该修补程序的附加信息
安装平台:
Windows NT 4.0 修补程序可在运行 Service Pack 6a 的系统上安装。
Windows NT 4.0 Terminal Server Edition 修补程序可在运行 Windows NT 4.0 Terminal Server Edition Service Pack 6 的系统上安装。
Windows 2000 修补程序可在运行 Windows 2000 Service Pack 3 或 Service Pack 4 的系统上安装。
Windows XP 修补程序可在运行 Windows XP Gold 或 Service Pack 1 的系统上安装。
Windows Server 2003 修补程序可在运行 Windows Server 2003 Gold 的系统上安装。
包括在将来的 Service Pack 中: 此问题的修补程序将包括在 Windows 2000 Service Pack 5、Windows XP Service Pack 2 和 Windows Server 2003 Service Pack 1 中。
是否需要重新启动:是
修补程序能否卸载:是
替代修补程序:否
验证修补程序安装:
Windows NT 4.0:
要验证计算机上是否已安装修补程序,请确认知识库文章 823980 中的文件清单上列出的所有文件是否均存在于系统中。
Windows NT 4.0 Terminal Server Edition:
要验证计算机上是否已安装修补程序,请确认知识库文章 823980 中的文件清单上列出的所有文件是否均存在于系统中。
Windows 2000:
要验证计算机上是否已安装修补程序,请确认计算机上是否已创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980。
要验证个别的文件,请使用知识库文章 823980 中的文件清单提供的日期/时间和版本信息,确认文件存在于系统中。
Windows XP:
要验证计算机上是否已安装修补程序,请确认计算机上是否已创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980。
要验证个别的文件,请使用知识库文章 823980 中的文件清单提供的日期/时间和版本信息,确认文件存在于系统中。
Windows Server 2003:
要验证计算机上是否已安装修补程序,请确认计算机上是否已创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Window Server 2003\SP1\KB823980。
要验证个别的文件,请使用知识库文章 823980 中的文件清单提供的日期/时间和版本信息,确认文件存在于系统中。
注意事项:无
本地化:该修补程序的本地化版本可从“获取修补程序的途径”中所述的位置获得。
获取其他安全修补程序:
有关其他安全问题的修补程序可从以下位置获得:
安全修补程序可以从 Microsoft 下载中心获得,通过执行“security_patch”关键字搜索即可方便地找到。
有关客户平台的修补程序可从 WindowsUpdate Web 站点获得。

其他信息
Microsoft 感谢 Last Stage of Delirium 研究小组向我们反映此问题并与我们一起致力于保护客户的利益。
支持:
Microsoft 知识库文章 823980 讨论了此问题,此公告发布大约 24 小时后会提供该文章。知识库文章可以在Microsoft在线支持网站上找到。
技术支持可以从Microsoft产品支持服务获得。与安全修补程序有关的支持电话是免费的。
安全性资源:Microsoft TechNet Security Web 站点提供有关 Microsoft 产品安全性的附加信息。
免责声明:
Microsoft 知识库中的信息是按“原样”提供的,没有任何形式的担保。Microsoft 不作任何明示或暗示的担保,包括对适销性和针对特定目的的适用性的担保。Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、附带的或后果性的商业利润损失或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知发生这类损害的可能性。一些州不允许排除或限制对后果性的或附带的损害所负的责任,因此上述限制可能不适用。

近两天服务器受到攻击,不断自动重新启动,现打上了补丁(RPC)

netecflash 2003-08-12 20:34

辛苦了,老版!

近两天服务器受到攻击,不断自动重新启动,现打上了补丁(RPC)

周谟圣 2003-08-14 18:51

看来还是我们行动迅速啊,昨天才看到报道!辛苦了,兄弟!!