安全研究

紧急通告
绿盟科技紧急通告(Alert2003-04)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com

Windows RPC DCOM 接口多个堆缓冲区溢出漏洞

发布日期:2003-09-11

CVE ID:CAN-2003-0528, CAN-2003-0715

受影响的软件及系统:
====================
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003

未受影响的软件及系统:
======================
Microsoft Windows Millennium Edition
Microsoft Windows 98

综述:
======
微软的Windows操作系统的RPC接口又发现存在多个远程安全漏洞,入侵者可以使用这些漏洞取得系统的local system权限。

我们强烈建议用户立刻检查一下您的系统是否受此漏洞影响,并按照我们提供的解决方法予以解决。

分析:
======
Remote Procedure Call (RPC)是Windows 操作系统使用的一种远程过程调用协议,RPC提供进程间交互通信机制,允许在某台计算机上运行程序的无缝地在远程系统上执行代码。协议本身源自开放软件基金会的 RPC协议,Microsoft在其基础上增加了自己的一些扩展。

Microsoft的RPC部分在通过TCP/IP处理信息交换时存在多个远程堆缓冲区溢出问题,远程攻击者可以利用这些漏洞以本地系统权限在系统上执行任意指令。

这些漏洞是由于不正确处理畸形消息所致,漏洞实质上影响的是使用RPC的DCOM接口。此接口处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。攻击者通过向目标发送畸形RPC DCOM请求来利用这些漏洞。成功利用此漏洞可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作 ,如安装程序、查看或更改、删除数据或创建系统管理员权限的帐户。

这些漏洞分别是由NSFOCUS/Nessus/eEye独立发现,其中NSFOCUS和Nessus发现的堆溢出是由于对文件名长度缺乏检查导致的(CAN-2003-0528),eEye发现的堆溢出是由于对报文的长度域缺乏检查导致的(CAN-2003-0715)。

攻击者可以通过 135(UDP/TCP), 137/UDP, 138/UDP, 139/TCP, 445(UDP/TCP), 593/TCP端口进行攻击。对于启动了COM Internet服务和RPC over HTTP的用户来说,攻击者还可能通过80/TCP和443/TCP端口进行攻击。

基于这些漏洞的严重性,我们有理由相信很快会有针对这些漏洞的攻击事件发生,因此我们建议所有使用受影响系统的用户尽快安装微软提供的安全补丁。微软已经在其安全公告MS03-039中提供了安全补丁以修复上述漏洞。

解决方法:
==========
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

* 使用防火墙阻塞至少下列端口:

    135/UDP
    137/UDP
    138/UDP
    445/UDP

    135/TCP
    139/TCP
    445/TCP
    593/TCP

   在受影响主机禁用COM Internet服务和RPC over HTTP。

* 如果因为某些原因确实不能阻塞上述端口,可以考虑暂时禁用DCOM:

    打开"控制面板"-->"管理工具"-->"组件服务"。
    在"控制台根目录"树的"组件服务"-->"计算机"-->"、我的电脑"上单击
    右键,选"属性"。
    选取"默认属性"页,取消"在此计算机上启用分布式 COM"的复选框。
    点击下面的"确定"按钮,并退出"组件服务"。

    注意:禁用DCOM可能导致某些应用程序运行失败和系统运行异常。包括一些重要系
    统服务不能启动,绿盟科技不推荐此种方法。应尽量根据上面的介绍使用防火墙阻
    塞端口来确保系统安全。

厂商状态:
==========
Windows NT Workstation 4.0:
http://www.microsoft.com/downloads/details.aspx?FamilyId=7EABAD74-9CA9-48F4-8DB5-CF8C188879DA&displaylang=zh-cn

Windows NT Server 4.0:
http://www.microsoft.com/downloads/details.aspx?FamilyId=71B6135C-F957-4702-B376-2DACCE773DC0&displaylang=zh-cn

Windows NT Server 4.0, Terminal Server Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=677229F8-FBBF-4FF4-A2E9-506D17BB883F

Windows 2000:
http://www.microsoft.com/downloads/details.aspx?FamilyId=F4F66D56-E7CE-44C3-8B94-817EA8485DD1&displaylang=zh-cn

Windows XP:
http://www.microsoft.com/downloads/details.aspx?FamilyId=5FA055AE-A1BA-4D4A-B424-95D32CFC8CBA&displaylang=zh-cn

Windows XP 64 bit Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=50E4FB51-4E15-4A34-9DC3-7053EC206D65

Windows XP 64 bit Edition Version 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=80AB25B3-E387-441F-9B6D-84106F66059B

Windows Server 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=51184D09-4F7E-4F7B-87A4-C208E9BA4787&displaylang=zh-cn

Windows Server 2003 64 bit Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=80AB25B3-E387-441F-9B6D-84106F66059B


对于Windows 2000用户,我们建议您安装完Windows 2000 SP4之后再安装上述补丁:
http://www.microsoft.com/Windows2000/downloads/servicepacks/sp4/download.asp

对于Windows NT 4.0用户,我们建议您安装完SP6a之后再安装上述补丁:
http://www.microsoft.com/NTServer/nts/downloads/recommended/SP6/allsp6.asp

附加信息:
==========
参考链接:
========
http://www.microsoft.com/technet/security/bulletin/MS03-039.asp
http://support.microsoft.com/?kbid=824146
http://www.nsfocus.net/index.php?act=advisory&do=view&adv_id=30
http://www.eeye.com/html/Research/Advisories/AD20030910.html
http://www.cert.org/advisories/CA-2003-23.html

声 明
==========

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com

© 2024 绿盟科技