安全研究
安全公告
Microsoft Windows RPC DCOM接口堆缓冲区溢出漏洞
发布日期:2003-09-11
CVE ID:CAN-2003-0528
受影响的软件及系统:
====================
- Microsoft Windows NT
- Microsoft Windows XP
- Microsoft Windows 2000
- Microsoft Windows 2003
未受影响的软件及系统:
======================
- Microsoft Windows 98
综述:
======
NSFOCUS安全小组发现微软Windows系统中RPC DCOM接口中存在一个远程可利用的缓冲区溢出漏洞,远程攻击者可能利用这个漏洞获取local system权限。
分析:
======
远程过程调用(RPC)是Windows 操作系统使用的一个协议。RPC提供一种内部进程通讯机制,允许在一台电脑上运行的程序无缝的执行远程系统中的代码。协议本身源于开放软件基金会(OSF)RPC协议,但添加了一些Microsoft特定的扩展。
在Windows RPC在分布式组件对象模型(DCOM)接口的处理中存在一个缓冲区溢出漏洞。Windows 的DCOM实现在处理一个参数的时候没有检查长度。通过提交一个超长(数百字节)的文件名参数可以导致堆溢出,从而使RpcSS 服务崩溃。精心构造提交的数据就可以在系统上以本地系统权限运行代码。攻击者可以在系统中采取任何行为,包括安装程序, 窃取更改或删除数据,或以完全权限创建新帐号。
此漏洞可以通过135(TCP/UDP)、139、445、593等端口发起攻击。
注意,此漏洞与MS03-026中描述的漏洞并非同一个漏洞,MS03-026(Q823980)的安全补丁并不能修复该漏洞。
解决方法:
==========
* 使用防火墙阻塞至少下列端口:
135/UDP
137/UDP
138/UDP
445/UDP
135/TCP
139/TCP
445/TCP
593/TCP
在受影响主机禁用COM Internet服务和RPC over HTTP。
* 如果因为某些原因确实不能阻塞上述端口,可以考虑暂时禁用DCOM:
打开"控制面板"-->"管理工具"-->"组件服务"。
在"控制台根目录"树的"组件服务"-->"计算机"-->"、我的电脑"上单击
右键,选"属性"。
选取"默认属性"页,取消"在此计算机上启用分布式 COM"的复选框。
点击下面的"确定"按钮,并退出"组件服务"。
注意:禁用DCOM可能导致某些应用程序运行失败和系统运行异常。包括一些重要系
统服务不能启动,绿盟科技不推荐此种方法。应尽量根据上面的介绍使用防火墙阻
塞端口来确保系统安全。
厂商状态:
==========
2003.07.29 通知厂商
2003.07.30 厂商证实漏洞存在
2003.09.10 微软已就此发布了一个安全公告(MS03-039)以及相应补丁
您可以在下列地址看到微软安全公告的详细内容:
http://www.microsoft.com/technet/security/bulletin/ms03-039.asp
附加信息:
==========
通用漏洞披露(Common Vulnerabilities and Exposures)组织CVE已经为此问题分配了一个候选名 CAN-2003-0528。此名字是为了收录进CVE列表做候选之用,(http://cve.mitre.org)CVE列表致力于使安全问题的命名标准化。候选名在被正式加入CVE列表之前可能会有较大的变化。
致谢:
======
本安全漏洞由绿盟科技安全小组(NSFOCUS Security Team)的袁仁广发现。
声 明
==========
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于绿盟科技
============
绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com
© 2024 绿盟科技