微軟 RPC 介面緩衝區超限能允許執行程式碼

RPC 處理 TCP/IP 上的訊息交換部份存在漏洞。由於不正確處理惡意訊息才引致這個錯誤。這個漏洞會影響分佈式構成物件模型 (Distributed Component Object Model - DCOM) 與 RPC 之間監聽 TCP/IP連接埠 135 的介面。這個介面負責處理由客戶端的電腦傳送來伺服器的 DCOM 物件啟動請求 (例如: 通用命名轉換 (UNC) 路徑)。若攻擊者成功利用這項漏洞，他可能以在受影響的電腦上以本機系統權限執行程式。攻擊者可以在系統上執行任何指令，包安裝程式，檢視、變更或刪除資料或建立一個擁有所有權限的帳戶。

要攻擊這項漏洞，攻擊者需要傳送一個特製的請求到遠端電腦的連接埠 135。

注意：現時有報告指出黑客正活躍地對這項漏洞進行掃描和攻擊。這項漏洞己有多種攻擊方法在公開發放，而且正積極地改良和發展成自動化的攻擊工具。已知的攻擊目標會指向 TCP 連接埠 135 和在被侵佔的主機上建立一個命令核後門程式。某些攻擊版本會利用 TCP 連接埠 4444 作為後門，而其他版本則由黑客執行攻擊時所指定的 TCP 連接埠。某些報告亦指出發現一些常用的後門程式連接埠 (例如: TCP連接埠 4444) 的掃描活動。在某種情況下，由於 RPC服務已終止，黑客連接後門程式時會令被侵佔的系統重新啟動。(更新於 2003年8月1日)

影響

• 允許攻擊者執行自訂程式碼

• 微軟視窗 NT 4.0
• 微軟視窗 NT 4.0 終端伺服器版本
• 微軟視窗 2000
• 微軟視窗 XP
• 微軟視窗 伺服器 2003
  

解決方案

請於安裝修補程式前瀏覽軟件供應商之網頁，以獲得更詳盡資料。

請在這裡下載修補程式：

• 視窗 NT 4.0 伺服器
• 視窗 NT 4.0 終端伺服器版本
• 視窗 2000
• 視窗 XP 32 位元版本
• 視窗 XP 64 位元版本
• 視窗 伺服器 2003 32 位元版本
• 視窗 伺服器 2003 64 位元版本

安裝平台:
此修補程式能夠安裝在使用：

• 視窗 NT 伺服器 4.0 修補程式能夠安裝在使用視窗 NT 伺服器 4.0 Service Pack 6a.
• 視窗 NT 伺服器, 終端伺服器版本修補程式能夠安裝在使用視窗 NT 伺服器, 終端伺服器版本 Service Pack 6.
• 視窗 2000 修補程式能夠安裝在使用視窗 2000 Service Pack 3, or Service Pack 4.
• 視窗 XP 修補程式能夠安裝在使用視窗 XP Gold 或視窗 XP Service Pack 1.
• 視窗 2003 修補程式能夠安裝在使用視窗 2003 Gold.

此外，若網絡上允許 DCOM RPC 服務，我們建議使用以下的封包過濾方法去緩和對這項漏洞進行的攻擊。

過濾網絡交通
在網絡外圍，建議禁止網絡存取 RPC 服務，這樣可以減低受到外來的阻斷服務攻擊 (denial-of-service) 。需要禁止的服務包括：

69/UDP
135/TCP
135/UDP
139/TCP
139/UDP
445/TCP
445/UDP
4444/TCP

如果不能禁止所有外來主機的存取，我們建議限制只允許日常操作所需的主機進行存取。根據一般的規則，我們建議過濾所有日常操作以外的所有網絡交通類型。

由於這種攻擊會建立一道後門，例如： 4444/TCP，禁止經這些並非正常服務所採用的連接埠進入的 TCP sessions，會限制了黑客存取被侵佔的主機。(更新於 2003年8月1日)

相關連結

• http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
• http://www.cert.org/advisories/CA-2003-16.html

資料來源

• 微軟
• CERT/CC

漏洞識別碼

• CAN-2003-0352

上一頁

編於：2003年7月17日
譯於：2003年7月18日
最後更新於：2003年8月1日