史萊姆論壇 - 請問一下 rpc是什麼

【轉貼】RPC 服務疑似病毒處理方法如下
http://support.microsoft.com/?kbid=331953

http://www.microsoft.com/taiwan/sec...ns/MS03-010.asp

Microsoft 安全性公告 MS03-010 列印

RPC 端點對應程式中的問題，可能會引來拒絕服務的攻擊 (331953)
原始張貼時間：2003 年 3 月 26 日

摘要
應該閱讀此公告的對象：使用 Microsoft® Windows® NT 4.0, Windows 2000 或 Windows XP 的客戶。

這個弱點的衝擊：拒絕服務。

最高的嚴重性等級：中度嚴重。

受影響的軟體：

Windows NT 4.0
Windows 2000
Windows XP

技術詳細資料
技術說明：

遠端程序呼叫 (RPC) 是 Windows 作業系統所使用的通訊協定。RPC 提供了程序間的通訊機制，讓電腦上執行的程式可以不著痕跡地執行遠端系統上的程式碼。這個通訊協定本身是從 OSF (開放軟體基金會，Open Software Foundation) RPC 通訊協定衍生而來的，另外加入了一些 Microsoft 的特定擴充功能。

在 RPC 的部份有一個弱點，與透過 TCP/IP 的訊息交換有關。造成這個問題的原因是格式錯誤的訊息處理不當。這類型的攻擊主要是以聆聽 TCP/IP 連接埠 135 的 RPC 端點對應處理程序為目標，RPC 端點對應程式可以讓 RPC 用戶端判斷出目前指定給特定 RPC 服務的連接埠號碼。

攻擊者必須建立 TCP/IP 連線，連接到遠端電腦上的目標處理程序，以利用這個弱點。建立連線之後，攻擊者就會開始進行 RPC 連線協商，然後傳輸格式錯誤的訊息。這時遠端電腦上的處理程序就無法執行，這個處理程序是負責使用 RPC 保存電腦上所有處理程序的連線資訊。由於端點對應程式是在 RPC 服務內執行，利用這個弱點就會造成 RPC 服務失敗，同時也會造成伺服器所提供的任何 RPC 服務一併失敗，以及喪失某些 COM 功能。

緩和因素：

若要執行這類型的攻擊，攻擊者必須能夠連線到目標電腦上執行的端點對應程式。這是內部網路環境的一般狀況，但是對於連線到網際網路的電腦而言，端點對應程式所使用的連接埠通常會遭到防火牆的封鎖。在未經封鎖的情況或內部網路環境中，攻擊者就不需要任何其他的權限。
最佳的防範措施就是封鎖所有未實際使用的 TCP/IP 連接埠。如此一來，大多數連線到網際網路的電腦都會封鎖連接埠 135。在網際網路這類可能受到攻擊的環境中，不應該使用 RPC over TCP。RPC 為這類型的環境提供了更穩定的通訊協定，例如 RPC over HTTP。若要進一步了解如何保護用戶端和伺服器的 RPC，請參閱這篇文章。若要進一步了解連接埠，請參閱以下網頁：http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windows2000serv/reskit/tcpip/part4/tcpappc.asp。
這個弱點只會允許拒絕服務這類型的攻擊，並不會讓攻擊者肆意修改或擷取遠端電腦上的資料。
位於 ISA 後面的內部 RPC 伺服器不會遭受這種攻擊。
嚴重性等級： Windows NT 4.0 中度嚴重
Windows NT 4.0, Terminal Server Edition 中度嚴重
Windows 2000 中度嚴重
Windows XP 中度嚴重
以上評估是根據受該弱點影響的系統類型、其典型部署模式以及利用該弱點對各系統所產生的效果。

弱點識別碼： CAN-2002-1561

已測試的版本：
Microsoft 測試了 Windows NT、Windows 2000 和 Windows XP，以評估這些系統是否會受這個弱點的影響。舊版本已不再受支援，而且不一定會受這個弱點的影響。

常見問題集
這個弱點的範圍為何?

這個弱點會造成拒絕服務。如果攻擊者成功利用這個弱點，就會造成遠端電腦無法運作。不過，攻擊者無法修改或擷取遠端電腦上的資料。

要執行這類拒絕服務的攻擊，攻擊者必須和目標電腦上執行的端點對應程式建立 TCP/IP 連線。攻擊者可以建立一個網站，收集目標電腦的 IP 位址，然後針對這些電腦發動攻擊。建立 TCP 連線之後，攻擊者就可以將格式錯誤的訊息傳送到 RPC 服務，進而造成目標電腦無法運作。

對於來自網際網路的遠端 RPC 攻擊，最佳的防範措施就是將防火牆設定為封鎖連接埠 135。在網際網路這類可能受到攻擊的環境中，不應該使用 RPC over TCP。除此之外，攻擊者無法在目標電腦上擷取任何資料或執行程式碼。

造成這個弱點的原因為何？
造成弱點的原因是，在 RPC 建立導致遠端電腦處理程序無法執行的連線後，Microsoft 的 RPC 端點對應程式無法正常檢查輸入的訊息。這個處理程序是負責使用 RPC 保存電腦上所有處理程序的連線資訊，由於端點對應程式是在 RPC 服務內執行，利用這個弱點就會造成 RPC 服務失敗，同時也會造成伺服器所提供的任何 RPC 服務一併失敗，以及喪失某些 COM 功能。

什麼是 RPC (遠端程序呼叫)？
遠端程序呼叫 (RPC) 是一個通訊協定，程式可以利用這個通訊協定，向網路中另一部電腦上的程式要求服務。RPC 對於互通性很有幫助，因為使用 RPC 的程式並不需要了解網路的細節。發出要求的程式就是用戶端，而提供服務的程式則是伺服器。

什麼是 RPC 端點對應程式？
RPC 端點對應程式可以讓 RPC 用戶端判斷出目前指定給特定 RPC 服務的連接埠號碼。端點就是伺服器應用程式聆聽用戶端遠端程序呼叫的硬體連接埠或具名管道。用戶端/伺服器架構的應用程式可以使用任何一種熟知或動態的應用程式。

Microsoft 的遠端程序呼叫 (RPC) 實作有何問題？
RPC 在透過 TCP/IP 交換訊息方面有一項瑕疵。造成這個問題的原因是格式錯誤的訊息處理不當。這類型的攻擊以聆聽 TCP/IP 連接埠 135 的 RPC 端點對應處理程序為目標，RPC 端點對應程式可以讓 RPC 用戶端判斷出目前指定給特定 RPC 服務的連接埠號碼。攻擊者只要傳送格式錯誤的 RPC 訊息，就可能造成電腦無法運作。

這個弱點可能讓攻擊者採取什麼動作？
這個弱點可以讓攻擊者透過網際網路或是在內部網路環境中，發動拒絕服務攻擊。儘管攻擊者可能造成電腦無法運作，但是並不能擷取資料或執行程式碼。

攻擊者如何利用這個弱點？
攻擊者可以在遠端尋找利用這個弱點的機會 (例如建立網頁)，收集電腦的 IP 位址，然後針對這些電腦發動攻擊。如果攻擊者要透過網際網路執行這項攻擊，目標電腦上的連接埠 135 必須要開放，而且RPC 服務必須正在使用中。

修補程式的作用何在？
修補程式會確認從 TCP/IP 連線所收到受影響的訊息，藉此消除這個弱點。基本上，就是讓 RPC 拒絕格式錯誤的訊息。

http://download.microsoft.com/downl...980-x86-CHT.exe