史萊姆論壇 - RPC 解決方案!!!

7月16日波蘭的一個安全組織LSD公佈了一個Windows操作系統的一個安全漏洞，這個漏洞號稱
迄今為止window系統中發現的最嚴重的一個系統漏洞
（漏洞的詳情參見[url]http://www.ccert.edu.cn/advisories/all.php?ROWID=48︴/url]^
隨後各安全組織對該漏洞展開了相關的研究，在研究的程序中國內的安全組織又發現了與之相
關的兩個同類型的漏洞，並上報了微軟，但是目前廠商還沒有提供相關的修正檔程序。因此到目
前為止針對window rpc系列實際上存在三個類似的漏洞，它們分別是：

1、Microsoft RPC接頭遠端任意程式碼可執行漏洞

漏洞描述：
Remote Procedure Call(RPC)是Windows操作系統使用的一種遠端程序使用傳輸協定,RPC傳輸協定提供
一種工作間的交互通信機制，它允許本機電腦上的程序工作無縫的在遠端系統中執行程式碼。
該傳輸協定的前身是OSF RPC傳輸協定，但是增加了微軟自己的一些擴展。

最近發現部分RPC在使用TCP/IP傳輸協定處理信息交換時不正確的處理畸形的消息導致存在一個
安全漏洞。該漏洞影響使用RPC的DCOM接頭，這個接頭用來處理由客戶端機器傳送給伺服器
的DCOM對像啟動請求(如UNC路徑)。如果攻擊者成功利用了該漏洞將獲得本機系統權限，他
將可以在系統上執行任意指令，如安裝程序、檢視或更改、刪除資料或者是建立系統管理員
權限的帳戶等。

要利用這個漏洞，攻擊者需要傳送特殊形式的請求到遠端電腦上的135連接阜.

2、Microsoft DCOM RPC接頭拒絕服務及權限提升漏洞
漏洞描述：
Remote Procedure Call(RPC)是Windows操作系統使用的一種遠端程序使用傳輸協定,RPC傳輸協定提供
一種工作間的交互通信機制，它允許本機電腦上的程序工作無縫的在遠端系統中執行程式碼。
該傳輸協定的前身是OSF RPC傳輸協定，但是增加了微軟自己的一些擴展。

最近發現MS RPC在處理畸形消息時存在問題，遠端攻擊者可以利用這個漏洞進行拒絕服務攻
擊，在RPC服務崩潰後，可用來權限提升攻擊。攻擊者傳送畸形消息給
DCOM __RemoteGetClassObject接頭，RCP服務就會崩潰，所有依靠RPC服務的應用程式和服務
就會變的不正常。

如果攻擊者擁有合法帳戶，在RPC服務崩潰後他還可以劫持管道和135連接阜進行權限提升攻擊。

3、window RPC接頭未知漏洞
漏洞描述：
由於該漏洞影響面太大而廠商又未推出相應的修正檔程序，因此目前並未公佈該漏洞的詳細技術
細節，但是發現該漏洞的組織中聯綠盟信息技術(北京)有限公司在報告中有提到如下警告：
該漏洞可以使入侵者輕而易舉的進入Windows 2000、Windows XP、Windows2003 Server系統。
攻擊者可以通過該漏洞取得系統的控制權，完全控制被入侵的系統，竊取文件，破壞資料。
因為該漏洞和以往發現的安全漏洞不同，不僅影響作為伺服器的Windows系統，同樣也會影響個
人電腦，所以潛在的受害者數量非常多。

漏洞危害：
7月23號網路上發佈了DCOM RPC接頭拒絕服務攻擊的程序程式碼，7月26日window RPC接頭遠端緩
沖溢出的攻擊程序程式碼被公佈，這樣就導致即便是一個對該漏洞技術細節毫不瞭解的人也能使
用這些程式碼去攻擊網路上的其他機器以達到拒絕服務攻擊的目的或是獲得相應的系統權限。目
前公佈的程式碼是對系統版本有針對性的，但是通用於各系統版本中的攻擊程式碼正在測試中，相
信在稍後的幾天內便會被公佈出來，一旦這種攻擊程式碼被公佈出來，只需要很小的技術上的改
造就可以改編成蠕蟲，如果利用這個漏洞蠕蟲被發佈出來，它的威力將遠遠超過codered和
slammer，可能會給整個網際網路絡帶來致命的打擊。

解決辦法：
針對以上漏洞，CCERT建議用戶對您的機器採取以下措施：
1、下載安裝相應的修正檔程序：
針對第一個漏洞微軟已經發佈了相應的安全公告與修正檔程序，你可以到我們的網站下載：
http://www.ccert.edu.cn/advisories/all.php?ROWID=48

針對其他兩個漏洞，微軟目前還沒有發佈相應的修正檔程序，我們建議您使用window自動update
功能，隨時關注廠商的動態，你也可以關注我們的主頁http://www.ccert.edu.cn
我們會在第一時間提供相應的修正檔程序下載

2、使用防火牆關閉所有不必要的連接阜，根據我們現在掌握的信息，這些漏洞不僅僅影響135連接阜，
它影響到大部分使用DCOM函數的服務連接阜，因此CCERT建議用戶使用網路或是個人防火牆過濾以
下連接阜：
135/TCP epmap
135/UDP epmap
139/TCP netbios-ssn
139/UDP netbios-ssn
445/TCP microsoft-ds
445/UDP microsoft-ds
593/TCP http-rpc-epmap
593/UDP http-rpc-epmap

3、使用IDS系統檢測來自於網路上的攻擊，IDS規則如下:
alert tcp $EXTERNAL_NET any -> $HOME_NET 445
(msg:"NETBIOS SMB DCERPC ISystemActivator bind attempt"; flow:to_server,established;
content:"|FF|SMB|25|"; nocase; offset:4; depth:5; content:"|26 00|"; distance:56;
within:2; content:"|5c 00|P|00|I|00|P|00|E|00 5c 00|"; nocase; distance:5; within:12;
content:"|05|"; distance:0; within:1; content:"|0b|"; distance:1; within:1;
byte_test:1,&,1,0,relative; content:"|A0 01 00 00 00 00 00 00 C0 00 00 00 00 00 00 46|";
distance:29; within:16; reference:cve,CAN-2003-0352asstype:
attempted-admin; sid:2193; rev:1

alert tcp $EXTERNAL_NET any -> $HOME_NET 135
(msg:"NETBIOS DCERPC ISystemActivator bind attempt"; flow:to_server,established;
content:"|05|"; distance:0; within:1; content:"|0b|"; distance:1; within:1; byte_test:
1,&,1,0,relative; content:"|A0 01 00 00 00 00 00 00 C0 00 00 00 00 00 00 46|";
distance:29; within:16; reference:cve,CAN-2003-0352; classtype:attempted-admin;
sid:2192; rev:1

注意：
1、針對第一個漏洞的修正檔並沒有包括在window 2000 sp4中，你需要下載單獨的熱修補修正檔。
2、由於rpc服務已經被鑲嵌到window的內核當中，因此我們不建議您使用關閉rpc服務的方
法來防止該漏洞被利用，因為關閉rpc服務可能會導致您的系統出現許多未知的錯誤
3、當您的系統突然彈出了svchost.exe出現異常錯誤的對話視窗或者是135連接阜突然被關閉，很
可能表示你已經受到了這類攻擊，請儘快採取相應的措施。

解決方法： (想要中文的自己改語言)

Windows NT 4.0 Server：
http://microsoft.com/downloads/detai...displaylang=en

Windows NT 4.0 Terminal Server Edition ：
http://microsoft.com/downloads/detai...displaylang=en

Windows 2000：
http://microsoft.com/downloads/detai...displaylang=en

Windows XP 32 bit Edition：
http://microsoft.com/downloads/detai...displaylang=en

Windows XP 64 bit Edition：
http://microsoft.com/downloads/detai...displaylang=en

Windows Server 2003 32 bit Edition：
http://microsoft.com/downloads/detai...displaylang=en

Windows Server 2003 64 bit Edition：
http://microsoft.com/downloads/detai...displaylang=en

或者在自己的路由器上封掉 TCP/135，UCP/135，甚至 TCP/139，UDP/139，TCP/445，UDP/445等RPC DCOM能利用的相關連接阜，以阻斷蠕蟲的攻擊和傳播。
受影響的操作系統有
Microsoft Windows 2000 Advanced Server SP4
Microsoft Windows 2000 Advanced Server SP3
Microsoft Windows 2000 Advanced Server SP2
Microsoft Windows 2000 Advanced Server SP1
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server SP4
Microsoft Windows 2000 Datacenter Server SP3
Microsoft Windows 2000 Datacenter Server SP2
Microsoft Windows 2000 Datacenter Server SP1
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Professional SP4
Microsoft Windows 2000 Professional SP3
Microsoft Windows 2000 Professional SP2
Microsoft Windows 2000 Professional SP1
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server SP4
Microsoft Windows 2000 Server SP3
Microsoft Windows 2000 Server SP2
Microsoft Windows 2000 Server SP1
Microsoft Windows 2000 Server
Microsoft Windows NT Enterprise Server 4.0 SP6a
Microsoft Windows NT Enterprise Server 4.0 SP6
Microsoft Windows NT Enterprise Server 4.0 SP5
Microsoft Windows NT Enterprise Server 4.0 SP4
Microsoft Windows NT Enterprise Server 4.0 SP3
Microsoft Windows NT Enterprise Server 4.0 SP2
Microsoft Windows NT Enterprise Server 4.0 SP1
Microsoft Windows NT Enterprise Server 4.0
Microsoft Windows NT Server 4.0 SP6a
Microsoft Windows NT Server 4.0 SP6
Microsoft Windows NT Server 4.0 SP5
Microsoft Windows NT Server 4.0 SP4
Microsoft Windows NT Server 4.0 SP3
Microsoft Windows NT Server 4.0 SP2
Microsoft Windows NT Server 4.0 SP1
Microsoft Windows NT Server 4.0
Microsoft Windows NT Terminal Server 4.0 SP6a
Microsoft Windows NT Terminal Server 4.0 SP6
Microsoft Windows NT Terminal Server 4.0 SP5
Microsoft Windows NT Terminal Server 4.0 SP4
Microsoft Windows NT Terminal Server 4.0 SP3
Microsoft Windows NT Terminal Server 4.0 SP2
Microsoft Windows NT Terminal Server 4.0 SP1
Microsoft Windows NT Terminal Server 4.0
Microsoft Windows NT Workstation 4.0 SP6a
Microsoft Windows NT Workstation 4.0 SP6
Microsoft Windows NT Workstation 4.0 SP5
Microsoft Windows NT Workstation 4.0 SP4
Microsoft Windows NT Workstation 4.0 SP3
Microsoft Windows NT Workstation 4.0 SP2
Microsoft Windows NT Workstation 4.0 SP1
Microsoft Windows NT Workstation 4.0
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Datacenter Edition 64-bit
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Enterprise Edition 64-bit
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows XP 64-bit Edition SP1
Microsoft Windows XP 64-bit Edition
Microsoft Windows XP Home SP1
Microsoft Windows XP Home
Microsoft Windows XP Professional SP1
Microsoft Windows XP Professional

如果殺毒以後還是出現，按照下面步驟操作
開啟控制台——系統管理工具——服務，找到Remote Procedure Call，雙按，設定啟動為自動。

win2000/2002/2003 的RPC錯誤/漏洞/病毒/自動/重啟/重新啟動/關機/139/關鍵字

http://support.microsoft.com/?kbid=823980

http://www.microsoft.com/china/techn...n/MS03-026.asp

http://www.microsoft.com/china/secur...s/MS03-026.asp
RPC漏洞解決方案及全中文修正檔下載
www.pcpchina.com的頭條置頂新聞∼裡面都有!
針對這個防火牆了，zap也行

RPC漏洞解決方案及全中文修正檔下載
裡面都有∼
針對第一個漏洞的蠕蟲已經在網上出現了：
http://www.nsfocus.net/index.php?act...view&adv_id=28
如果裝了火牆，可以手動關掉135，139，445的 UDP 和 TCP 口