WinXP安全漏洞系统8之DCOM RPC 接口中的缓冲区溢出漏洞

「漏洞描述」：远程过程调用 （RPC）提供了一种进程间通信机制，通过该机制，在一台计算机上运行的程序可以顺畅地执行某个远程系统上的代码。RPC 中处理通过 TCP/IP消息交换的部分有一个漏洞，此问题是由错误地处理格式不正确的消息造成的。这种特定的漏洞影响分布式组件对象模型 （DCOM） 与 RPC 间的一个接口，此接口侦听 TCP/IP 端口 135. 任何能135 端口发送 TCP 请求的用户都能利用此漏洞，因为Windows的RPC 请求在默认情况下是打开的。要发动此类攻击，黑客要向 RPC 服务发送一条格式不正确的消息，从而造成目标计算机受制于人，攻击者可以在它上面执行任意代码，能够对服务器随意执行操作，包括更改网页、重新格式化硬盘或向本地管理员组添加新的用户。 去年“冲击波”蠕虫及其变种病毒就是利用了该漏洞，病毒在TCP 135端口上扫描随机的IP地址范围，以便搜索容易攻击的系统。它试图使用DCOM RPC漏洞，通过开放的RPC端口传播。

　　

「解决办法」：微软为此发布了安全补丁，该补丁修改 DCOM了接口，使之能够检查向它传递的信息，这样也就堵住了漏洞，防止感染“冲击波”病毒。建议下载安装该补丁（http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp）。如果不能安装补丁，应该如下操作：

;1、在防火墙上封堵 135 端口。 135 端口用于启动与远程计算机的 RPC 连接。在防火墙上封堵 135 端口，可以帮助防火墙内的系统防范通过利用此漏洞进行的攻击。

;2、Internet 连接防火墙。 使用 WinXP/2003 中的 Internet 连接防火墙，则默认情况下会阻止来自 Internet 的入站 RPC 通信信息。

3、禁用DCOM如果你的机器是网络的一部分，则该计算机上的 COM 对象将能够通过 DCOM 网络协议与另一台计算机上的 COM 对象进行通信，你可以禁用自己机器上的 DCOM，帮助其防范此漏洞。

;十三、Windows Shell中未经检查的缓冲区的漏洞（发布日期：2003-7-16）

「漏洞描述」：Windows Shell 负责提供 Windows 用户界面的基本框架（例如Windows 桌面），帮助定义用户的计算会话（包括组织文件和文件夹），以及提供启动应用程序的方法等。Windows Shell使用的某项功能中存在一个未经检查的缓冲区，它可以从某些文件夹中提取自定义属性信息。黑客可以利用此缺陷发动攻击，在你的系统上运行代码，从而造成安全漏洞。成功利用该漏洞的攻击者即可完全控制受影响的系统，包括安装程序；查看、更改或删除数据；或者创建拥有完全权限的新帐户。 黑客通过下面的方法利用此漏洞：创建一个 desktop.ini 文件，在此文件包含一个恶意的自定义属性，然后将此文件置于一个网络共享位置，或通过 HTML 电子邮件发送此文件。如果你浏览了存储此文件的共享文件夹，该漏洞就将被利用。另外，HTML电子邮件可能包含一些代码，这些代码可自动将用户导航到一个包含有恶意文件的共享文件夹。一旦攻击成功，将导致 Windows Shell 失败，或者导致黑客的代码在用户机器的安全上下文中运行。

「解决办法」：安装了WinXP 和WinXP Service Pack 1的用户立即到以下地址http://www.cert.org.cn/articles/hole/common/2004071421822.shtml下载补丁，然后进行更新，此补丁也将包含在 Windows XP Service Pack 2 中。

标签：