WinXP安全漏洞系统(8)
WinXP安全漏洞系统8之DCOM RPC 接口中的缓冲区溢出漏洞
「漏洞描述」:远程过程调用 (RPC)提供了一种进程间通信机制,通过该机制,在一台计算机上运行的程序可以顺畅地执行某个远程系统上的代码。RPC 中处理通过 TCP/IP消息交换的部分有一个漏洞,此问题是由错误地处理格式不正确的消息造成的。这种特定的漏洞影响分布式组件对象模型 (DCOM) 与 RPC 间的一个接口,此接口侦听 TCP/IP 端口 135. 任何能135 端口发送 TCP 请求的用户都能利用此漏洞,因为Windows的RPC 请求在默认情况下是打开的。要发动此类攻击,黑客要向 RPC 服务发送一条格式不正确的消息,从而造成目标计算机受制于人,攻击者可以在它上面执行任意代码,能够对服务器随意执行操作,包括更改网页、重新格式化硬盘或向本地管理员组添加新的用户。 去年“冲击波”蠕虫及其变种病毒就是利用了该漏洞,病毒在TCP 135端口上扫描随机的IP地址范围,以便搜索容易攻击的系统。它试图使用DCOM RPC漏洞,通过开放的RPC端口传播。
「解决办法」:微软为此发布了安全补丁,该补丁修改 DCOM了接口,使之能够检查向它传递的信息,这样也就堵住了漏洞,防止感染“冲击波”病毒。建议下载安装该补丁(http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp)。如果不能安装补丁,应该如下操作:
;1、在防火墙上封堵 135 端口。 135 端口用于启动与远程计算机的 RPC 连接。在防火墙上封堵 135 端口,可以帮助防火墙内的系统防范通过利用此漏洞进行的攻击。
;2、Internet 连接防火墙。 使用 WinXP/2003 中的 Internet 连接防火墙,则默认情况下会阻止来自 Internet 的入站 RPC 通信信息。
3、禁用DCOM如果你的机器是网络的一部分,则该计算机上的 COM 对象将能够通过 DCOM 网络协议与另一台计算机上的 COM 对象进行通信,你可以禁用自己机器上的 DCOM,帮助其防范此漏洞。
;十三、Windows Shell中未经检查的缓冲区的漏洞(发布日期:2003-7-16)
「漏洞描述」:Windows Shell 负责提供 Windows 用户界面的基本框架(例如Windows 桌面),帮助定义用户的计算会话(包括组织文件和文件夹),以及提供启动应用程序的方法等。Windows Shell使用的某项功能中存在一个未经检查的缓冲区,它可以从某些文件夹中提取自定义属性信息。黑客可以利用此缺陷发动攻击,在你的系统上运行代码,从而造成安全漏洞。成功利用该漏洞的攻击者即可完全控制受影响的系统,包括安装程序;查看、更改或删除数据;或者创建拥有完全权限的新帐户。 黑客通过下面的方法利用此漏洞:创建一个 desktop.ini 文件,在此文件包含一个恶意的自定义属性,然后将此文件置于一个网络共享位置,或通过 HTML 电子邮件发送此文件。如果你浏览了存储此文件的共享文件夹,该漏洞就将被利用。另外,HTML电子邮件可能包含一些代码,这些代码可自动将用户导航到一个包含有恶意文件的共享文件夹。一旦攻击成功,将导致 Windows Shell 失败,或者导致黑客的代码在用户机器的安全上下文中运行。
「解决办法」:安装了WinXP 和WinXP Service Pack 1的用户立即到以下地址http://www.cert.org.cn/articles/hole/common/2004071421822.shtml下载补丁,然后进行更新,此补丁也将包含在 Windows XP Service Pack 2 中。