駭客網站再度公佈微軟漏洞攻擊程式

[x-x-s-s]

http://www.microsoft.com/taiwan/secu...s/ms03-039.asp
Microsoft 安全性公告 MS03-039 列印


RPCSS 服務中的緩衝區滿溢可能會允許執行程式碼 (824146)
原始發佈日期：2003 年 9 月 11 日

摘要
應該閱讀此公告的對象： 執行 Microsoft® Windows® 的使用者

這個弱點的影響： 執行攻擊者選擇的程式碼

最高的嚴重性等級：重大

建議： 系統管理員應該立即套用此安全性補充程式

使用者公告：
下列網址提供使用者版本公告：

http://www.microsoft.com/taiwan/secu...s03-039.asp。

受影響的軟體：

Microsoft Windows NT Workstation 4.0
Microsoft Windows NT Server?4.0
Microsoft Windows NT Server 4.0, Terminal Server Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
不受影響的軟體：
Microsoft Windows Millennium Edition

詳細技術資訊
技術說明：


本補充程式已取代 Microsoft 安全性公告 MS03-026 中包含的補充程式。

遠端程序呼叫 (RPC) 是 Windows 作業系統所使用的通訊協定。RPC 提供程序間的通訊機制，以便允許在電腦上執行的程式能順利地存取另一台電腦上的服務。通訊協定本身是衍生於開放軟體基金會 (OSF，Open Software Foundation) RPC 通訊協定，但是加入了某些 Microsoft 特定的擴充功能。

在處理 DCOM 啟用之 RPC 訊息的 RPCSS 服務部份，已找到三個弱點，其中兩個可能會允許執行任何程式碼，而另一個則可能導致拒絕服務。產生瑕疵的原因是處理格式錯誤之訊息的方式不正確。這幾個弱點會影響 RPCSS 服務中的分散式元件物件模型 (DCOM) 介面。這個介面是用來處理從一台電腦傳送到另一台電腦的 DCOM 物件啟用要求。

成功利用這些弱點的攻擊者能夠在受影響的系統上使用本機系統權限執行程式碼，或者可能導致 RPCSS 服務失敗。然後攻擊者就可以在系統上採取任何動作，包括安裝程式、檢視變更或刪除資料，或是建立具有完整權限的新帳戶。

為了利用這些弱點，攻擊者可能會建立一個程式，將格式錯誤的 RPC 訊息傳送到防備不周全的系統，針對 RPCSS 服務進行攻擊。

Microsoft 已經發行了一項工具，可以用來掃描網路上是否有任何系統尚未安裝 MS03-039 補充程式。如需關於這個工具的詳細資訊，請參閱 Microsoft 知識庫 (Microsoft Knowledge Base) 文件 827363。這個工具取代了 Microsoft 知識庫 (Knowledge Base) 文件 826369中提供的工具。如果系統已經安裝了本公告提供的安全性補充程式，則在該系統上使用 Microsoft 知識庫 (Microsoft Knowledge Base) 文件 826369 中提供的工具時，已被取代的工具將顯示不正確的報告，指出系統缺少 MS03-026 中提供的補充程式。Microsoft 鼓勵客戶執行 Microsoft 知識庫 (Microsoft Knowledge Base) 文件 827363 工具，以確認系統已經安裝補充程式。

緩和因素：

防火牆的最佳實務作法與標準的預設防火牆組態，都有助於保護網路免於遭受企業外部發動之遠端攻擊的威脅。最佳實務作法是建議阻擋所有實際上未使用到的連接埠。因此，大部分連接網際網路的系統都應該盡量不要公開會受影響的連接埠。
如需 PRC 所使用連接埠的詳細資訊，請參訪下面的 Microsoft 網站： http://www.microsoft.com/technet/pro...t4/tcpappc.asp

嚴重性等級： Windows NT Workstation 4.0 Windows NT Server 4.0 Windows NT Server 4.0, Terminal Server Edition Windows 2000 Windows XP Windows Server 2003
緩衝區滿溢弱點 重大 重大 重大 重大 重大 重大
拒絕服務弱點 無 無 無 重要 無 無
所有弱點的彙總嚴重性 重大 重大 重大 重大 重大 重大
以上 評估 的根據包括：受弱點影響的系統類型、系統的一般部署模式，以及利用弱點對系統所造成的影響後果。

弱點識別碼：
緩衝區滿溢： CAN-2003-0715

緩衝區滿溢： CAN-2003-0528

拒絕服務： CAN-2003-0605

已測試的版本：
Microsoft 測試過 Windows Millennium Edition、Windows NT 4.0 Server、Windows NT 4.0 Terminal Services Edition、Windows 2000、Windows XP 和 Windows Server 2003，以評估這些系統是否受此弱點影響。舊版本已不再受 支援，而且不一定會受這些弱點影響。


常見問題集
安全性公告 MS03-026 也和 RPC 有關，它提供的補充程式是否已經被這個補充程式所取代？

是的。本公告所提供的安全性補充程式已經完全取代 MS03-026 提供的補充程式，以及 MS01-048 提供的補充程式。

這個弱點的範圍為何？
本公告討論了三個不同的弱點。前兩個是 緩衝區滿溢 的弱點；第三個則是 拒絕服務 的弱點。成功利用任何一個緩衝區滿溢弱點的攻擊者可以取得遠端電腦的完整控制權。這會讓攻擊者能夠在系統上採取任何他們想要執行的動作，包括變更網頁、重新格式化硬碟，或是在本機系統管理員群組中新增使用者。

成功利用拒絕服務弱點的攻擊者可能造成 RPC 服務當機並且沒有回應。

若要進行這樣的攻擊，攻擊者必須要能夠將格式錯誤的訊息傳送到 RPCSS 服務，藉此造成目標系統故障，而得以執行任何程式碼。

造成這些弱點的原因為何？
產生這些弱點的原因是，Windows RPCSS 服務在某些特定情況下並未正確檢查訊息輸入。攻擊者在建立連線之後，便能送出蓄意製作之格式錯誤的 RPC 訊息，造成遠端系統上 RPCSS 服務中的基礎 分散式元件物件模型 (DCOM) 啟用基礎結構失敗，而得以執行任何程式碼。

何謂 DCOM？
分散式元件物件模型 (DCOM，Distributed Component Object Model) 是能夠讓軟體元件在網路上直接進行通訊的協定。DCOM 先前稱為「Network OLE」，其設計目的是用來在多重網路之間進行傳輸，包括 HTTP 等網際網路通訊協定。如需 DCOM 的詳細資訊，請參訪下面的網站： http://www.microsoft.com/com/tech/dcom.asp

何謂遠端程序呼叫 (RPC，Remote Procedure Call)？
遠端程序呼叫 (RPC，Remote Procedure Call) 是一種通訊協定，程式可以用它來向網路中另一台電腦上的程式請求服務。RPC 增加了互通性，因為使用 RPC 的程式不需要瞭解支援通訊之網路通訊協定。在 RPC 中，發出請求程式的是用戶端，而提供服務程式的則是伺服器。


何謂「元件物件模型 Internet 服務」(CIS，COM Internet Services) 以及 RPC over HTTP？
RPC over HTTP - v1 (Windows NT 4.0、Windows 2000) 和 v2 (Windows XP、Windows Server 2003) 為新的 RPC 傳輸通訊協定提供了支援，讓 RPC 可以在 TCP 80 和 443 連接埠 (僅限 v2) 上操作。這麼一來，就可以讓用戶端和伺服器在使用大多數的 Proxy 伺服器和防火牆時也能進行通訊。COM Internet Services (CIS) 讓 DCOM 可以使用 RPC over HTTP，在 DCOM 用戶端和 DCOM 伺服器之間進行通訊。

有關 Windows Server 2003 的 RPC over HTTP 詳細資訊，可以在下面的 URL 找到：
http://msdn.microsoft.com/library/de..._over_http.asp

有關 COM Internet Services (有時稱為 CIS) 的詳細資訊，可以在下面的 URL 找到：
http://msdn.microsoft.com/library/de...m/html/cis.asp

要如何判斷是否已安裝 COM Internet Services (CIS) 或 RPC over HTTP？
若要判定伺服器上是否安裝 COM Internet 服務或 RPC over HTTP，請依照下列步驟進行：

在已安裝 Windows NT Option Pack 的 Windows NT 4.0 系統上：在所有磁碟分割中搜尋 "rpcproxy.dll"。若您在伺服器上找到 rpcproxy.dll，表示已安裝 COM Internet 服務。
在 Windows 2000 和 Windows Server 2003 伺服器上：

在 [控制台] 中按兩下 [新增/移除程式]，然後按兩下 [新增/移除 Windows 元件]。
[Windows 元件精靈] 便會啟動。

按一下 [網路服務]，然後再按 [詳細資料]。


如果已經選取 [COM Internet Services Proxy] (Windows 2000 Server) 或 [RPC over HTTP Proxy] (Windows Server 2003) 核取方塊，就表示已在伺服器上啟用 CIS 或 RPC over HTTP 支援。

注意：如果您想要透過遠端或以程式設計的方式來判定是否已安裝 CIS 或 RPC over HTTP，您也可以在 Windows 2000 及 Windows Server 2003 安裝版本上搜尋 rpcproxy.dll。
若要在您的電腦上搜尋某個特定檔案：請按一下 [開始]，按一下 [搜尋]，再按一下 [檔案或資料夾]，然後輸入您要搜尋的檔案名稱。
搜尋可能需要數分鐘的時間，視硬碟的大小而定。

RPCSS 服務出了什麼問題？
處理 DCOM 啟用的 RPCSS 服務中有一個瑕疵。產生錯誤的原因是處理格式錯誤之訊息的方式不正確。這個錯誤會對負責聆聽 UDP 135、137、138、445 連接埠以及 TCP 135、139、445、593 連接埠，用來啟動 DCOM 的基礎 RPCSS 服務造成影響。此外，如果啟用了 CIS 或 RPC over HTTP，它也可以聆聽 80 和 443 連接埠。

攻擊者可以利用傳送格式錯誤的 RPC 訊息，造成系統上的 RPCSS 服務失敗，而得以執行任何程式碼。

RPC 端點對應程式中是否有此瑕疵？
否 - 雖然 RPC 端點對應程式與 DCOM 基礎結構共用 RPCSS 服務，但是此瑕疵實際上是發生在 DCOM 啟用基礎結構中。RPC 端點對應程式允許 RPC 用戶端決定目前指派給特定 RPC 服務的連接埠編號。端點是主機電腦上通訊協定指定的服務識別碼。對 TCP 或 UDP 這類通訊協定來說，這是連接埠；對具名管道來說，則是已命名的管道名稱。其他的通訊協定會使用其他通訊協定指定的端點。

這些弱點可能讓攻擊者採取什麼動作？
成功利用緩衝區滿溢弱點的攻擊者能夠在受影響的系統上，使用本機系統權限執行程式碼。攻擊者能夠在系統上進行任何動作，包括安裝程式、檢視變更或刪除資料，或使用完整權限建立新帳戶。

成功利用拒絕服務弱點的攻擊者可能造成 RPCSS 服務當機或是變成沒有回應。

攻擊者如何利用這些弱點？
想要利用這些弱點的攻擊者，可以建立一個程式，透過受到影響的 TCP/UDP 連接埠與防備不周全的伺服器進行通訊，以傳送特定種類之格式錯誤的 RPC 訊息。只要接收這類訊息，就可能會造成防備不周全的系統上的 RPCSS 服務失敗，而得以執行任何程式碼。

攻擊者也有可能透過其他方式存取受到影響的元件，像是以互動方式登入系統，或是使用另一個應用程式以本機或遠端方式將參數傳送至防備不周延的元件中。

誰可以利用這些弱點？
只要可以將格式錯誤的 RPC 訊息傳送到受影響系統上的 RPCSS 服務的任何使用者，都可以利用這些弱點。因為 RPCSS 服務在所有的 Windows 版本中都是預設為啟動，基本上這就表示，只要是能夠與受到影響的系統建立連線的任何使用者，都可以嘗試利用這些弱點。

我還在使用 Microsoft Windows NT 4.0 Workstation，但是它已經不受支援了。不過，這個公告卻有補充程式。這是為什麼呢？
如同先前文件所述，Windows NT 4.0 Workstation 的產品生命週期已經屆滿，因此 Microsoft 通常不會再提供一般可用的補充程式。但是，由於這個弱點的特性，再加上 Windows NT 4.0 Workstation 的產品生命週期屆滿是最近的事，而且目前仍在使用中的 Windows NT 4.0 Workstation 數量仍然很多，因此 Microsoft 決定將這個弱點當作例外處理。
雖然我們預期不再針對未來的弱點進行同樣的處理，不過也保留在必要時製作及提供補充程式的權利。目前擁有 Windows NT 4.0 Workstation 的客戶應該優先考慮將它們移轉成受支援的平台，以免暴露在未來弱點的威脅之下。

下列網址提供關於「Windows 桌面產品生命週期支援」的其他資訊： http://www.microsoft.com/windows/lif...omponents.mspx

我還在使用 Microsoft Windows 2000 Service Pack 2，但是它已經不受支援了。不過，這個公告卻有可以安裝在 Service Pack 2 的補充程式。這是為什麼呢？
如同先前文件所述，Windows 2000 Service Pack 2 的產品生命週期已經屆滿，因此 Microsoft 通常不會再提供一般可用的補充程式。但是，由於這個弱點的特性，再加上 Windows 2000 Service Pack 2 的產品生命週期屆滿是最近的事，而且目前仍在執行 Windows NT 4.0 Workstation 的客戶數量仍然很多，因此 Microsoft 決定將這個弱點當作例外處理。
雖然我們預期不再針對未來的弱點進行同樣的處理，不過也保留在必要時製作及提供補充程式的權利。目前擁有 Windows 2000 Service Pack 2 的客戶應該優先考慮將它們移轉成受支援的平台，以免暴露在未來弱點的威脅之下。

下列網址提供關於 Windows 桌面產品產品生命週期支援的其他資訊： http://microsoft.com/windows/lifecyc...omponents.mspx

有沒有任何工具可以用來偵測網路上是否有尚未安裝 MS03-039 補充程式的系統？

有 - Microsoft 已經發行了一項工具，可以用來掃描網路上是否有任何系統尚未安裝 MS03-039 補充程式。如需關於這個工具的詳細資訊，請參閱 Microsoft 知識庫 (Microsoft Knowledge Base) 文件 827363。

補充程式的作用何在？
補充程式會藉由變更 DCOM 的執行方式，對傳送進來的資訊進行適當的檢查，來修正這個弱點。


解決方法：

當我在測試或評估此補充程式時，有任何解決方法可以用來阻擋他人利用此弱點嗎？
是的。雖然 Microsoft 強烈主張所有的客戶盡早套用此補充程式，但是在過渡期間仍然有一些解決方法可以用來協助避免他人利用此弱點。這些解決方法並不能保證一定可以阻擋所有可能的攻擊來源。

請注意這些解決方法應該視為暫時性方案，因為其只是協助阻擋攻擊路徑，而不是修正其下的弱點。

在防火牆上阻擋 UDP 135、137、138、445 連接埠以及 TCP 135、139、445、593 連接埠，並且在受到影響的系統上停用聆聽 80 與 443 連接埠的 COM Internet Services (CIS) 和 RPC over HTTP。
這些連接埠是用來對遠端電腦的 RPC 連線進行初始化。在防火牆上阻擋這些連接埠，將有助於避免攻擊者嘗試利用這些弱點，對防火牆之後的系統進行攻擊。同時您也應該確定自己是否已阻擋了遠端電腦上經過特別設定的其他 RPC 通訊埠。
如果啟用 CIS 和 RPC over HTTP 的話，就會讓 DCOM 呼叫能夠在 TCP 80 連接埠 (以及 Windows XP 和 Windows Server 2003 上的 443 連接埠) 上操作。請確定所有受到影響的系統上都已停用 CIS 和 RPC over HTTP。
如需關於如何停用 CIS 的詳細資訊，請參閱 Microsoft 知識庫 (Microsoft Knowledge Base) 文件 825819。

如需關於 RPC over HTTP 之資訊，請參閱 http://msdn.microsoft.com/library/de...ecurity.asp。


使用網際網路連線防火牆 (只有 Windows XP 和 Windows Server 2003 上才有)，並且在受到影響的系統上停用聆聽 80 與 443 連接埠的 COM Internet Services (CIS) 和 RPC over HTTP。
如果您正在使用 Windows XP 或 Windows Server 2003 中的網際網路防火牆來保護網際網路連結，其預設將會阻擋自網際網路傳入的 RPC 傳輸量。請確定所有受到影響的電腦上都已停用 CIS 和 RPC over HTTP。
如需關於如何停用 CIS 的詳細資訊，請參閱 Microsoft 知識庫 (Microsoft Knowledge Base) 文件 825819。

如需關於 RPC over HTTP 之資訊，請參閱 http://msdn.microsoft.com/library/de...ecurity.asp。


使用 IPSEC 篩選器阻擋受到影響的連接埠，並且在受到影響的電腦上停用聆聽 80 與 443 連接埠的 COM Internet Services (CIS) 和 RPC over HTTP。
使用 Internet Protocol Security (IPSec) 將能確保 Windows 2000 電腦上的網路通訊安全性。如需有關 IPSec 以及如何套用篩選器之詳細資訊，請參閱 Microsoft 知識庫 (Microsoft Knowledge Base) 文件 313190 及 813878。請確定所有受到影響的電腦上都已停用 CIS 和 RPC over HTTP。
如需關於如何停用 CIS 的詳細資訊，請參閱 Microsoft 知識庫 (Microsoft Knowledge Base) 文件 825819。

如需關於 RPC over HTTP 之資訊，請參閱 http://msdn.microsoft.com/library/de...ecurity.asp。


停用所有受到影響之電腦的 DCOM
當電腦是網路的一部份時，DCOM 電線通訊協定會讓電腦上的 COM 物件能與其他電腦上的 COM 物件進行通訊。您可以停用特定電腦上的 DCOM，以協助保護不受此弱點影響，但如此一來將會停用該電腦的物件與其他電腦之物件間的所有通訊。

如果您停用遠端電腦上的 DCOM，您以後將無法從遠端存取該電腦來重新啟用 DCOM。若要重新啟用 DCOM，您將需要對該電腦進行實體存取。

如需關於如何停用 DCOM 的詳細資訊，請參閱 Microsoft 知識庫 (Microsoft Knowledge Base) 文件 825750。

注意：如果是 Windows 2000，則上述方法只適用於執行 Service Pack 3 (含) 以上的系統。使用 Service Pack 2 (含) 以下的客戶必須升級為較新的 Service Pack，或是使用其他的解決方法。

何處能夠取得此補充程式
此補充程式的下載位置 產品名稱 中文版 英文版
Windows NT Workstation 4.0
Windows NT Server 4.0
Windows NT Server 4.0, Terminal Server Edition
Windows 2000
Windows XP
Windows XP 64 bit Edition
Windows XP 64 bit Edition Version 2003
Windows Server 2003
Windows Server 2003 64 bit Edition


關於此補充程式的其他資訊
安裝平台：
Windows NT Workstation 4.0 補充程式可以安裝在執行 Service Pack 6a 的系統上。
Windows NT Server 4.0 補充程式可以安裝在執行 Service Pack 6a的系統上。
Windows NT 4.0，Terminal Server Edition 補充程式可以安裝在執行 Windows NT 4.0，Terminal Server Edition Service Pack 6 的系統上。
Windows 2000 補充程式可以安裝在執行 Windows 2000 Service Pack 2、Service Pack 3 或 Service Pack 4 的系統上。
Windows XP 的補充程式可以安裝在執行 Windows XP Gold 或 Service Pack 1 的系統上。
Windows Server 2003 的補充程式可以安裝在執行 Windows Server 2003 Gold 的系統上。
未來 Service Pack 的內容：
此問題的補充程式將包含在 Windows 2000 Service Pack 5、Windows XP Service Pack 2，以及 Windows Server 2003 Service Pack 1 中。

需要重新開機：是

補充程式是否可以解除安裝：是

取代的補充程式：
本補充程式已取代 Microsoft 安全性公告 MS03-026 以及 MS01-048 中包含的補充程式。

確認補充程式的安裝：

Windows NT 4.0:
若要確認補充程式是否已經安裝在電腦上，請確認 Microsoft 知識庫 (Microsoft Knowledge Base) 文件 824146 中檔案清單上所列的所有檔案是否已存在於系統上。
Windows NT 4.0 Terminal Server Edition:
若要確認補充程式是否已經安裝在電腦上，請確認 Microsoft 知識庫 (Microsoft Knowledge Base) 文件 824146 中檔案清單上所列的所有檔案是否已存在於系統上。
Windows 2000:
若要確認補充程式已經安裝在電腦上，請確認電腦上確實已建立下列登錄機碼： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB824146。
若要確認個別檔案，請使用 Microsoft 知識庫 (Microsoft Knowledge Base) 文件 824146 中檔案清單上所提供的日期/時間和版本資訊是否已存在於系統上。

Windows XP:
是否已安裝於 Windows XP Gold 上：若要確認補充程式已經安裝在電腦上，請確認電腦上確實已建立下列登錄機碼：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB824146
若要確認個別檔案，請使用 Microsoft 知識庫 (Microsoft Knowledge Base) 文件 824146 中檔案清單上所提供的日期/時間和版本資訊是否已存在於系統上。


是否已安裝於 Windows XP Service Pack 1 上：
若要確認補充程式已經安裝在電腦上，請確認電腦上確實已建立下列登錄機碼： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB824146。
若要確認個別檔案，請使用 Microsoft 知識庫 (Microsoft Knowledge Base) 文件 824146 中檔案清單上所提供的日期/時間和版本資訊是否已存在於系統上。


Windows Server 2003:
若要確認補充程式已經安裝在電腦上，請確認電腦上確實已建立下列登錄機碼： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Window Server 2003\SP1\KB824146。
若要確認個別檔案，請使用 Microsoft 知識庫 (Microsoft Knowledge Base) 文件 824146 中檔案清單上所提供的日期/時間和版本資訊是否已存在於系統上。

警告：
無

本地化：
此補充程式的本地化版本，可以在此公告之「補充程式可用性」一節中所討論的位置取得。

取得其他安全性補充程式：
其他安全性問題的補充程式可以從下列位置取得：

安全性補充程式可以從 Microsoft 下載中心 取得，也可以利用 security_patch 關鍵字搜尋輕易地找到。
使用者平台的補充程式可以在 Windows Update 網站取得。
其他資訊：
感謝
Microsoft 感謝 eEye Digital Security、NSFOCUS Security Team 及 Tenable Network Security 的 Xue Yong Zhi 及 Renaud Deraison 將緩衝區滿溢的問題傳達給我們，並且協助我們一起保護客戶。

支援：

Microsoft 知識庫 (Microsoft Knowledge Base) 文件 824146 中討論了這個問題，並且在此公告發佈約二十四小時後即可取得。知識庫文件可以在 Microsoft 線上支援 網站上找到。
技術支援可以從 Microsoft 技術支援處取得。與安全性補充程式有關的支援電話不另外收費。
安全性資源： Microsoft TechNet Security 網站提供了有關 Microsoft 產品安全性的其他資訊。

免責聲明：
Microsoft 知識庫 (Microsoft Knowledge Base) 中的資訊係按「現狀」提供，並不提供任何保證。不論明示或暗示，Microsoft 不作任何責任擔保，包括適售性以及適合特定用途之擔保責任。無論任何情況下的損害，Microsoft Corporation 及其供應商皆不負任何法律責任，包括直接、間接、偶發意外、推衍引發、業務利潤損失或特殊損害。即使 Microsoft corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區並不允許排除及限制推衍後果或意外損害責任，因此前述限制不適用於這些地區。

修訂：


V1.0 (2003 年 9 月 10 日)：建立公告。

[辛塔]

雖然我的系統不是winxp
但感謝你告知這類的訊息

多謝分享