- 注册
- 2004-10-29
- 帖子
- 2,035
- 反馈评分
- 0
- 点数
- 61
- 年龄
- 46
- 性别
- 男
【漏洞描述】:远程过程调用 (RPC)提供了一种进程间通信机制,通过该机制,在一台计算机上运行的程序可以顺畅地执行某个远程系统上的代码。RPC 中处理通过 TCP/IP消息交换的部分有一个漏洞,此问题是由错误地处理格式不正确的消息造成的。这种特定的漏洞影响分布式组件对象模型 (DCOM) 与 RPC 间的一个接口,此接口侦听 TCP/IP 端口 135。
任何能135 端口发送 TCP 请求的用户都能利用此漏洞,因为Windows的RPC 请求在默认情况下是打开的。要发动此类攻击,黑客要向 RPC 服务发送一条格式不正确的消息,从而造成目标计算机受制于人,攻击者可以在它上面执行任意代码,能够对服务器随意执行操作,包括更改网页、重新格式化硬盘或向本地管理员组添加新的用户。
去年“冲击波”蠕虫及其变种病毒就是利用了该漏洞,病毒在TCP 135端口上扫描随机的IP地址范围,以便搜索容易攻击的系统。它试图使用DCOM RPC漏洞,通过开放的RPC端口传播。
【解决办法】:微软为此发布了安全补丁,该补丁修改 DCOM了接口,使之能够检查向它传递的信息,这样也就堵住了漏洞,防止感染“冲击波”病毒。建议下载安装该补丁(http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp)。如果不能安装补丁,应该如下操作:
1、在防火墙上封堵 135 端口。
135 端口用于启动与远程计算机的 RPC 连接。在防火墙上封堵 135 端口,可以帮助防火墙内的系统防范通过利用此漏洞进行的攻击。
2、Internet 连接防火墙。
使用 WinXP/2003 中的 Internet 连接防火墙,则默认情况下会阻止来自 Internet 的入站 RPC 通信信息。
3、禁用DCOM
如果你的机器是网络的一部分,则该计算机上的 COM 对象将能够通过 DCOM 网络协议与另一台计算机上的 COM 对象进行通信,你可以禁用自己机器上的 DCOM,帮助其防范此漏洞。
任何能135 端口发送 TCP 请求的用户都能利用此漏洞,因为Windows的RPC 请求在默认情况下是打开的。要发动此类攻击,黑客要向 RPC 服务发送一条格式不正确的消息,从而造成目标计算机受制于人,攻击者可以在它上面执行任意代码,能够对服务器随意执行操作,包括更改网页、重新格式化硬盘或向本地管理员组添加新的用户。
去年“冲击波”蠕虫及其变种病毒就是利用了该漏洞,病毒在TCP 135端口上扫描随机的IP地址范围,以便搜索容易攻击的系统。它试图使用DCOM RPC漏洞,通过开放的RPC端口传播。
【解决办法】:微软为此发布了安全补丁,该补丁修改 DCOM了接口,使之能够检查向它传递的信息,这样也就堵住了漏洞,防止感染“冲击波”病毒。建议下载安装该补丁(http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp)。如果不能安装补丁,应该如下操作:
1、在防火墙上封堵 135 端口。
135 端口用于启动与远程计算机的 RPC 连接。在防火墙上封堵 135 端口,可以帮助防火墙内的系统防范通过利用此漏洞进行的攻击。
2、Internet 连接防火墙。
使用 WinXP/2003 中的 Internet 连接防火墙,则默认情况下会阻止来自 Internet 的入站 RPC 通信信息。
3、禁用DCOM
如果你的机器是网络的一部分,则该计算机上的 COM 对象将能够通过 DCOM 网络协议与另一台计算机上的 COM 对象进行通信,你可以禁用自己机器上的 DCOM,帮助其防范此漏洞。
