- UID
- 14605
- 积分
- 4567
- 精华
- 贡献
-
- 威望
-
- 活跃度
-
- D豆
-
- 在线时间
- 小时
- 注册时间
- 2002-11-8
- 最后登录
- 1970-1-1
|
发表于 2003-8-13 14:20:32
|
显示全部楼层
Re: [公告]:今天有病毒
最初由 zenny 发布
[B]今天我们公司的电脑 常出现异常现象 大多数xp系统无故重启 不
知各位有无这种情况 [/B]
CCERT 关于window RPC系列漏洞的安全公告
7月16日波兰的一个安全组织LSD公布了一个Windows操作系统的一个安全漏洞,这个
漏洞号称
迄今为止window系统中发现的最严重的一个系统漏洞
(漏洞的详情参见http://www.ccert.edu.cn/advisories/all.php?ROWID=48)
随后各安全组织对该漏洞展开了相关的研究,在研究的过程中国内的安全组织又发现
了与之相
关的两个同类型的漏洞,并上报了微软,但是目前厂商还没有提供相关的补丁程序。
因此到目
前为止针对window rpc系列实际上存在三个类似的漏洞,它们分别是:
1、Microsoft RPC接口远程任意代码可执行漏洞
漏洞描述:
Remote Procedure Call(RPC)是Windows操作系统使用的一种远程过程调用协议,
RPC协议提供
一种进程间的交互通信机制,它允许本地机器上的程序进程无缝的在远程系统中
运行代码。
该协议的前身是OSF RPC协议,但是增加了微软自己的一些扩展。
最近发现部分RPC在使用TCP/IP协议处理信息交换时不正确的处理畸形的消息导致
存在一个
安全漏洞。该漏洞影响使用RPC的DCOM接口,这个接口用来处理由客户端机器发送
给服务器
的DCOM对象激活请求(如UNC路径)。如果攻击者成功利用了该漏洞将获得本地系统
权限,他
将可以在系统上运行任意命令,如安装程序、查看或更改、删除数据或者是建立
系统管理员
权限的帐户等。
要利用这个漏洞,攻击者需要发送特殊形式的请求到远程机器上的135端口.
2、Microsoft DCOM RPC接口拒绝服务及权限提升漏洞
漏洞描述:
Remote Procedure Call(RPC)是Windows操作系统使用的一种远程过程调用协议,
RPC协议提供
一种进程间的交互通信机制,它允许本地机器上的程序进程无缝的在远程系统中
运行代码。
该协议的前身是OSF RPC协议,但是增加了微软自己的一些扩展。
最近发现MS RPC在处理畸形消息时存在问题,远程攻击者可以利用这个漏洞进行
拒绝服务攻
击,在RPC服务崩溃后,可用来权限提升攻击。攻击者发送畸形消息给
DCOM __RemoteGetClassObject接口,RCP服务就会崩溃,所有依靠RPC服务的应用
程序和服务
就会变的不正常。
如果攻击者拥有合法帐户,在RPC服务崩溃后他还可以劫持管道和135端口进行权
限提升攻击。
3、window RPC接口未知漏洞
漏洞描述:
由于该漏洞影响面太大而厂商又未推出相应的补丁程序,因此目前并未公布该漏
洞的详细技术
细节,但是发现该漏洞的组织中联绿盟信息技术(北京)有限公司在报告中有提到
如下警告:
该漏洞可以使入侵者轻而易举的进入Windows 2000、Windows XP、Windows2003
Server系统。
攻击者可以通过该漏洞取得系统的控制权,完全控制被入侵的系统,窃取文件,
破坏资料。
因为该漏洞和以往发现的安全漏洞不同,不仅影响作为服务器的Windows系统,同
样也会影响个
人电脑,所以潜在的受害者数量非常多。
漏洞危害:
7月23号网络上发布了DCOM RPC接口拒绝服务攻击的程序代码,7月26日window RPC
接口远程缓
冲溢出的攻击程序代码被公布,这样就导致即便是一个对该漏洞技术细节毫不了
解的人也能使
用这些代码去攻击网络上的其他机器以达到拒绝服务攻击的目的或是获得相应的
系统权限。目
前公布的代码是对系统版本有针对性的,但是通用于各系统版本中的攻击代码正
在测试中,相
信在稍后的几天内便会被公布出来,一旦这种攻击代码被公布出来,只需要很小
的技术上的改
造就可以改编成蠕虫,如果利用这个漏洞蠕虫被发布出来,它的威力将远远超过
codered和
slammer,可能会给整个互联网络带来致命的打击。
解决办法:
针对以上漏洞,CCERT建议用户对您的机器采取以下措施:
1、下载安装相应的补丁程序:
针对第一个漏洞微软已经发布了相应的安全公告与补丁程序,你可以到我们的网
站下载:
winnt
win2000
winxp
win2003
针对其他两个漏洞,微软目前还没有发布相应的补丁程序,我们建议您使用window
自动update
功能,随时关注厂商的动态,你也可以关注我们的主页http://www.ccert.edu.cn
我们会在第一时间提供相应的补丁程序下载
2、使用防火墙关闭所有不必要的端口,根据我们现在掌握的信息,这些漏洞不仅仅
影响135端口,
它影响到大部分调用DCOM函数的服务端口,因此CCERT建议用户使用网络或是个
人防火墙过滤以
下端口:
135/TCP epmap
135/UDP epmap
139/TCP netbios-ssn
139/UDP netbios-ssn
445/TCP microsoft-ds
445/UDP microsoft-ds
593/TCP http-rpc-epmap
593/UDP http-rpc-epmap
3、使用IDS系统检测来自于网络上的攻击,IDS规则如下:
alert tcp $EXTERNAL_NET any -> $HOME_NET 445
(msg:"NETBIOS SMB DCERPC ISystemActivator bind attempt";
flow:to_server,established
;
content:"|FF|SMB|25|"; nocase; offset:4; depth:5; content:"|26 00|"; distance
:56;
within:2; content:"|5c 00|P|00|I|00|P|00|E|00 5c 00|"; nocase; distance:5
; within:12;
content:"|05|"; distance:0; within:1; content:"|0b|"; distance:1; within:
1;
byte_test:1,&,1,0,relative; content:"|A0 01 00 00 00 00 00 00 C0 00 00 00
00 00 00 46|";
distance:29; within:16; reference:cve,CAN-2003-0352;classtype:
attempted-admin; sid:2193; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET 135
(msg:"NETBIOS DCERPC ISystemActivator bind attempt"; flow:to_server,established
;
content:"|05|"; distance:0; within:1; content:"|0b|"; distance:1; within
:1; byte_test:
1,&,1,0,relative; content:"|A0 01 00 00 00 00 00 00 C0 00 00 00 00 00 00
46|";
distance:29; within:16; reference:cve,CAN-2003-0352; classtype:attempted-
admin;
sid:2192; rev:1;)
注意:
1、针对第一个漏洞的补丁并没有包括在window 2000 sp4中,你需要下载单独的
热修补补丁。
2、由于rpc服务已经被镶嵌到window的内核当中,因此我们不建议您使用关闭rpc
服务的方
法来防止该漏洞被利用,因为关闭rpc服务可能会导致您的系统出现许多未知
的错误
3、当您的系统突然弹出了svchost.exe出现异常错误的对话框或者是135端口突然
被关闭,很
可能表示你已经受到了这类攻击,请尽快采取相应的措施。
安装自动重启补丁http://www.microsoft.com/downloa ... p;DisplayLang=zh-cn
试试看吧,我只能转帖一下,我自己没有碰到这个问题,不知道有没有用。 |
|
如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】;
如何回报帮助你解决问题的坛友,一个好办法就是给对方加【D豆】,加分不会扣除自己的积分,做一个热心并受欢迎的人!
|申请友链|Archiver|手机版|小黑屋|辽公网安备|晓东CAD家园
( 辽ICP备15016793号 )
窥视卡
雷达卡
发表于 2003-8-13 14:05:16
提升卡
置顶卡
沉默卡
变色卡
千斤顶
发表于 2003-8-13 16:41:20
