发布日期：2003-09-11
更新日期：2003-09-11

受影响系统：

Microsoft Windows RPC DCOM
    - Microsoft Windows XP
    - Microsoft Windows Terminal Services
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2003 Standard Edition
    - Microsoft Windows 2000 SP3

不受影响系统：

Microsoft Windows RPC DCOM
    - Microsoft Windows ME
Microsoft Windows RPC DCOM
    - Microsoft Windows 98

描述：

---

CVE(CAN) ID: CVE-2003-0715

Remote Procedure Call (RPC)是Windows 操作系统使用的一种远程过程调用协议，RPC提供进程间交互通信机制，允许在某台计算机上运行程序的无缝地在远程系统上执行代码。协议本身源自开放软件基金会的RPC协议，Microsoft在其基础上增加了自己的一些扩展。

eEye的研究人员发现，由于Windows RPC DCOM接口对报文的长度域缺乏检查导致发生基于堆的溢出，远程攻击者可以利用这些漏洞以本地系统权限在系统上执行任意指令。

漏洞实质上影响的是使用RPC的DCOM接口，此接口处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。攻击者通过向目标发送畸形RPC DCOM请求来利用这些漏洞。成功利用此漏洞可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作 ，如安装程序、查看或更改、删除数据或创建系统管理员权限的帐户。

攻击者可以通过 135(UDP/TCP)、137/UDP、138/UDP、139/TCP、445(UDP/TCP)、593/TCP端口进行攻击。对于启动了COM Internet服务和RPC over HTTP的用户来说，攻击者还可能通过80/TCP和443/TCP端口进行攻击。


<*链接：http://www.microsoft.com/technet/security/bulletin/MS03-039.asp
        http://www.cert.org/advisories/CA-2003-23.html
        http://www.nsfocus.net/index.php?act=advisory&do=view&adv_id=30
        http://www.nsfocus.net/index.php?act=alert&do=view&aid=30
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 使用防火墙阻塞至少下列端口：

    135/UDP
    137/UDP
    138/UDP
    445/UDP

    135/TCP
    139/TCP
    445/TCP
    593/TCP

   在受影响主机禁用COM Internet服务和RPC over HTTP。

* 如果因为某些原因确实不能阻塞上述端口，可以考虑暂时禁用DCOM：

    打开"控制面板"-->"管理工具"-->"组件服务"。
    在"控制台根目录"树的"组件服务"-->"计算机"-->"、我的电脑"上单击
    右键，选"属性"。
    选取"默认属性"页，取消"在此计算机上启用分布式 COM"的复选框。
    点击下面的"确定"按钮，并退出"组件服务"。

注意：禁用DCOM可能导致某些应用程序运行失败和系统运行异常。包括一些重要系统服务不能启动，绿盟科技不推荐此种方法。应尽量根据上面的介绍使用防火墙阻塞端口来确保系统安全。

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS03-039）以及相应补丁:
MS03-039：Buffer Overrun In RPCSS Service Could Allow Code Execution(824146)
链接：http://www.microsoft.com/technet/security/bulletin/MS03-039.asp

补丁下载：

Windows NT Workstation 4.0:
http://www.microsoft.com/downloads/details.aspx?FamilyId=7EABAD74-9CA9-48F4-8DB5-CF8C188879DA&displaylang=zh-cn

Windows NT Server 4.0：
http://www.microsoft.com/downloads/details.aspx?FamilyId=71B6135C-F957-4702-B376-2DACCE773DC0&displaylang=zh-cn

Windows NT Server 4.0, Terminal Server Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=677229F8-FBBF-4FF4-A2E9-506D17BB883F

Windows 2000:
http://www.microsoft.com/downloads/details.aspx?FamilyId=F4F66D56-E7CE-44C3-8B94-817EA8485DD1&displaylang=zh-cn

Windows XP:
http://www.microsoft.com/downloads/details.aspx?FamilyId=5FA055AE-A1BA-4D4A-B424-95D32CFC8CBA&displaylang=zh-cn

Windows XP 64 bit Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=50E4FB51-4E15-4A34-9DC3-7053EC206D65

Windows XP 64 bit Edition Version 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=80AB25B3-E387-441F-9B6D-84106F66059B

Windows Server 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=51184D09-4F7E-4F7B-87A4-C208E9BA4787&displaylang=zh-cn

Windows Server 2003 64 bit Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=80AB25B3-E387-441F-9B6D-84106F66059B

对于Windows 2000用户，我们建议您安装完Windows 2000 SP4之后再安装上述补丁:
http://www.microsoft.com/Windows2000/downloads/servicepacks/sp4/download.asp

对于Windows NT 4.0用户，我们建议您安装完SP6a之后再安装上述补丁:
http://www.microsoft.com/NTServer/nts/downloads/recommended/SP6/allsp6.asp

浏览次数：6685
严重程度：10（网友投票）