如果你的 nt/2000/xp/2003 在上网过程中突然出现如下画面,并在1分钟内关机。
则你很可能是遭到了利用微软 Windows *作系统 RPC (远程过程调用协议)系统服务的漏洞而发起的攻击。
严重程度:高
威胁程度:Microsoft RPC为远程管理员权限,MS WINDOWS 2000 RPC为远程拒绝服务
错误类型:Microsoft RPC为设计错误,MS WINDOWS 2000 RPC为输入验证错误
利用方式:Microsoft RPC为服务器模式、MS WINDOWS 2000 RPC为客户机模
Microsoft RPC CVE(CAN) ID:CAN-2003-0352
详细描述
Microsoft RPC :Remote Procedure Call (RPC)调用是WINDOWS使用的一个协议,提供进程间交互通信,允许程序在远程机器上运行任意程序。
RPC在处理通过TCP/IP进行信息交换过程中存在漏洞,问题由于不正确处理畸形消息造成。主要此漏洞影响使用RPC的DCOM接口,监听RPC使能的接口,这个接口处理DCOM对象激活请求。攻击者如果成*利用此漏洞,可以以系统用户权限执行任意代码。
要利用这个漏洞,可以发送畸形请求给远程服务器监听的特定RPC端口。如135、139、445等任何配置了RPC端口的机器。
MS WINDOWS 2000 RPC :WINDOWS的RPC服务(RPCSS)存在漏洞,当发送一个畸形包的时候,会导致RPC服务无提示的崩溃掉。由于RPC服务是一个特殊的系统服务,许多应用和服务程序都依赖于他,因为可以造成这些程序与服务的拒绝服务。同时可以通过劫持epmapper管道和135端口的方法来提升权限和获取敏感信息。
技术分析
问题主要发生在RPC服务为DCOM服务提供__RemoteGetClassObject接口上,当传送一个特定包导致解析一个结构的指针参数为NULL的时候, __RemotoGetClassObject 未对此结构指针参数有有效性检查,在后续中就直接引用了此地址(此时为0)做读写*作,这样就导致了内存访问违例,RPC服务进程崩溃。
危害
攻击之后,许多基于RPC的应用无法使用,如使用网络与拨号连接拨号,配置本地连接等,一些基于RPC,DCOM的服务与应用将无法正常运行。 由于RPC服务是MS WINDOWS中一个重要的服务,他开放的135端口同时用于DCOM的认证,epmapper管道用于RPC端点的影射,并默认为系统信任,如果一个攻击者能够以低权限在被攻击机器上运行一个程序,在RPC服务崩溃以后,就可以通过劫持epmapper管道和135端口的方法来提升权限或获得DCOM客户端认证的信息。
解决方案
Microsoft RPC为:
采用防火墙过滤这些配置了RPC的端口。
补丁下载:
Windows NT 4.0 Server :
http://microsoft.com/downloads/deta...4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en
Windows NT 4.0 Terminal Server Edition:
http://microsoft.com/downloads/deta...60-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en
Windows 2000:
http://microsoft.com/downloads/deta...FamilyID=C8B8A846-F541-4C15-8C9F-220354449117
Windows XP 32 bit Edition :
http://microsoft.com/downloads/deta...C5B6-44AC-9532-3DE40F69C074&displaylang=zh-cn
Windows XP 64 bit Edition:
http://microsoft.com/downloads/deta...DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en
Windows Server 2003 32 bit Edition:
http://microsoft.com/downloads/deta...3A-9F4C-4061-9009-3A212458E92E&displaylang=en
Windows Server 2003 64 bit Edition:
http://microsoft.com/downloads/deta...73-C3F0-4EC1-995F-017E35692BC7&displaylang=en
MS WINDOWS 2000 RPC为:
在Internet的机器在FW上设置规则禁止外部访问135端口。
相关信息
参考:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
最近出现的“流言”病毒就是利用此病毒进行攻击破坏的:
金山毒霸反病毒中心于8月3日截获最新蠕虫病毒,命名为“流言”(Worm.SdBotRPC)。蠕虫病毒利用微软*作系统平台上RPC系统服务的漏洞攻击远端系统。
据金山毒霸反病毒工程师介绍:该蠕虫病毒利用RPC的DCOM接口的漏洞,向远端系统上的RPC系统服务所监听的端口发送攻击代码,造成远端系统无法使用RPC服务或系统崩溃。IRC是比较常用的聊天工具,这次它又成为了病毒攻击的对象和帮凶。蠕虫会利用IRC聊天工具在受感染的机器上留后门,等待远端控制者的命令,或通过IRC进行病毒的升级和传播等*作。
金山毒霸反病毒工程师提醒:请赶快到以下地址下载微软的补丁程序,避免此漏洞带来的危害:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
如果不能下载补丁的用户,请用网络防火墙关闭“135 139 445”三个端口,以防止病毒的攻击。
具体禁止端口的方法:
http://www.duba.net/c/2003/08/12/88900.shtml
专杀工具
则你很可能是遭到了利用微软 Windows *作系统 RPC (远程过程调用协议)系统服务的漏洞而发起的攻击。
严重程度:高
威胁程度:Microsoft RPC为远程管理员权限,MS WINDOWS 2000 RPC为远程拒绝服务
错误类型:Microsoft RPC为设计错误,MS WINDOWS 2000 RPC为输入验证错误
利用方式:Microsoft RPC为服务器模式、MS WINDOWS 2000 RPC为客户机模
Microsoft RPC CVE(CAN) ID:CAN-2003-0352
详细描述
Microsoft RPC :Remote Procedure Call (RPC)调用是WINDOWS使用的一个协议,提供进程间交互通信,允许程序在远程机器上运行任意程序。
RPC在处理通过TCP/IP进行信息交换过程中存在漏洞,问题由于不正确处理畸形消息造成。主要此漏洞影响使用RPC的DCOM接口,监听RPC使能的接口,这个接口处理DCOM对象激活请求。攻击者如果成*利用此漏洞,可以以系统用户权限执行任意代码。
要利用这个漏洞,可以发送畸形请求给远程服务器监听的特定RPC端口。如135、139、445等任何配置了RPC端口的机器。
MS WINDOWS 2000 RPC :WINDOWS的RPC服务(RPCSS)存在漏洞,当发送一个畸形包的时候,会导致RPC服务无提示的崩溃掉。由于RPC服务是一个特殊的系统服务,许多应用和服务程序都依赖于他,因为可以造成这些程序与服务的拒绝服务。同时可以通过劫持epmapper管道和135端口的方法来提升权限和获取敏感信息。
技术分析
问题主要发生在RPC服务为DCOM服务提供__RemoteGetClassObject接口上,当传送一个特定包导致解析一个结构的指针参数为NULL的时候, __RemotoGetClassObject 未对此结构指针参数有有效性检查,在后续中就直接引用了此地址(此时为0)做读写*作,这样就导致了内存访问违例,RPC服务进程崩溃。
危害
攻击之后,许多基于RPC的应用无法使用,如使用网络与拨号连接拨号,配置本地连接等,一些基于RPC,DCOM的服务与应用将无法正常运行。 由于RPC服务是MS WINDOWS中一个重要的服务,他开放的135端口同时用于DCOM的认证,epmapper管道用于RPC端点的影射,并默认为系统信任,如果一个攻击者能够以低权限在被攻击机器上运行一个程序,在RPC服务崩溃以后,就可以通过劫持epmapper管道和135端口的方法来提升权限或获得DCOM客户端认证的信息。
解决方案
Microsoft RPC为:
采用防火墙过滤这些配置了RPC的端口。
补丁下载:
Windows NT 4.0 Server :
http://microsoft.com/downloads/deta...4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en
Windows NT 4.0 Terminal Server Edition:
http://microsoft.com/downloads/deta...60-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en
Windows 2000:
http://microsoft.com/downloads/deta...FamilyID=C8B8A846-F541-4C15-8C9F-220354449117
Windows XP 32 bit Edition :
http://microsoft.com/downloads/deta...C5B6-44AC-9532-3DE40F69C074&displaylang=zh-cn
Windows XP 64 bit Edition:
http://microsoft.com/downloads/deta...DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en
Windows Server 2003 32 bit Edition:
http://microsoft.com/downloads/deta...3A-9F4C-4061-9009-3A212458E92E&displaylang=en
Windows Server 2003 64 bit Edition:
http://microsoft.com/downloads/deta...73-C3F0-4EC1-995F-017E35692BC7&displaylang=en
MS WINDOWS 2000 RPC为:
在Internet的机器在FW上设置规则禁止外部访问135端口。
相关信息
参考:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
最近出现的“流言”病毒就是利用此病毒进行攻击破坏的:
金山毒霸反病毒中心于8月3日截获最新蠕虫病毒,命名为“流言”(Worm.SdBotRPC)。蠕虫病毒利用微软*作系统平台上RPC系统服务的漏洞攻击远端系统。
据金山毒霸反病毒工程师介绍:该蠕虫病毒利用RPC的DCOM接口的漏洞,向远端系统上的RPC系统服务所监听的端口发送攻击代码,造成远端系统无法使用RPC服务或系统崩溃。IRC是比较常用的聊天工具,这次它又成为了病毒攻击的对象和帮凶。蠕虫会利用IRC聊天工具在受感染的机器上留后门,等待远端控制者的命令,或通过IRC进行病毒的升级和传播等*作。
金山毒霸反病毒工程师提醒:请赶快到以下地址下载微软的补丁程序,避免此漏洞带来的危害:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
如果不能下载补丁的用户,请用网络防火墙关闭“135 139 445”三个端口,以防止病毒的攻击。
具体禁止端口的方法:
http://www.duba.net/c/2003/08/12/88900.shtml
专杀工具