最新的RPC漏洞信息,攻击者只要向远程计算机上的 135 端口发送特殊格式的请求就可以获得对远程计算机的完全控制,这使得攻击者能够对服务器随意执行任何操作,包括更改网页,格式化硬盘或者向本地管理员组中添加新的用户。
此漏洞将会影响运行 MICROSOFT WINDOWS的用户:
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
(RPC) 是 Windows 操作系统使用的一个协议。RPC 提供了一种进程间通信机制,通过这一机制,在一台计算机上运行的程序可以顺畅地执行某个远程系统上的代码。该协议本身是从 OSF(开放式软件基础)RPC 协议衍生出来的,只是增加了一些 Microsoft 特定的扩展。
RPC 中处理通过 TCP/IP 的消息交换的部分有一个漏洞。此问题是由错误地处理格式不正确的消息造成的。这种特定的漏洞影响分布式组件对象模型 (DCOM) 与 RPC 间的一个接口,此接口侦听 TCP/IP 端口 135。此接口处理客户端计算机向服务器发送的 DCOM 对象激活请求(例如通用命名约定 (UNC) 路径)。
此漏洞是由于 Windows RPC 服务在某些情况下不能正确检查消息输入而造成的。如果攻击者在 RPC 建立连接后发送某种类型的格式不正确的 RPC 消息,则会导致远程计算机上与 RPC 之间的基础分布式组件对象模型 (DCOM) 接口出现问题,进而使任意代码得以执行。
而135端口则成了问题出现的最根本的起源
对于服务器而言,我们现在需要做的就是尽可能快的封上你的135端口,以下是一些安全配制方法:
A、在防火墙上封堵 135 端口。
135端口用于启动与远程计算机的 RPC 连接。连接到Internet的计算机应当在防火墙上封堵 135 端口,用以帮助防火墙内的系统防范通过利用此漏洞进行的攻击。使用防火墙关闭所有不必要的端口,漏洞不仅仅影响135端口,还影响到大部分调用DCOM函数的服务端口,建议用户使用网络或是个人防火墙过滤以下端口:
135/TCP epmap
135/UDP epmap
139/TCP netbios-ssn
139/UDP netbios-ssn
445/TCP microsoft-ds
445/UDP microsoft-ds
593/TCP http-rpc-epmap
593/UDP http-rpc-epmap
如果您在使用 Windows XP 或 Windows Server 2003 中的 Internet 连接防火墙来保护您的 Internet 连接,则默认情况下会阻止来自 Internet 的入站 RPC 通信信息。
方案一:
1、关闭病毒攻击的TCP/IP端口
a)使用Windows自带的TCP/IP筛选功能
打开默认的网络连接属性(方法有右击桌面网络邻居、控制面板网络属性)
单击属性,选择常规页的TCP/IP,再单击属性,
单击高级,进入下一页,再选择TCP/IP筛选。然后单击属性,在TCP和UDP端口设置中选择只允许,添加相应的端口,如80用于IE浏览,其它的端口根据应用程序的设定相应修改。最后确定就OK了。
方案二:
使用金山网镖或者天网防火墙:
网镖高级功能可以非常方便的实现封闭和开放端口的功能。
单击右下角金山网镖,在弹出的菜单中选择配置选项,然后选择高级页选中使用IP包过滤技术,添加TCP、UDP的135、139、445端口,最新捕获得的“新流言”病毒还要关闭4444端口。
提示:在做这一切前请先升级你的反病毒软件和防火墙。
B、禁用所有受影响的计算机上的 DCOM
如果一台计算机是一个网络的一部分,则该计算机上的 COM 对象将能够通过 DCOM 网络协议与另一台计算机上的 COM 对象进行通信。您可以禁用特定的计算机上的 DCOM,帮助其防范此漏洞,但这样做会阻断该计算机上的对象与其他计算机上的对象之间的所有通信。
如果您禁用一台远程计算机上的 DCOM,此后,您将无法通过远程访问该计算机来重新启用 DCOM。要重新启用 DCOM,需要本地操作该计算机
手动为计算机启用(或禁用) DCOM:
1.运行 Dcomcnfg.exe
如果您在运行 Windows XP 或 Windows Server 2003,则还要执行下面这些步骤:
单击“控制台根节点”下的“组件服务”。
打开“计算机”子文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。
对于远程计算机,请以右键单击“计算机”文件夹,然后选择“新建”,再选择“计算机”。输入计算机名称。以右键单击该计算机名称,然后选择“属性”。
2.选择“默认属性”选项卡。
3.选择(或清除)“在这台计算机上启用分布式 COM”复选框。
4.如果您要为该计算机设置更多属性,请单击“应用”按钮以启用(或禁用) DCOM。否则,请单击“确定”以应用更改并退出 Dcomcnfg.exe。
C、请立刻为你的计算机打相应的补丁。
Windows Server 2003 中文版(32位)
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=F8E0FF3A-9F4C-4061-9009-3A212458E92E
Windows Server 2003 英文版(32位)
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=F8E0FF3A-9F4C-4061-9009-3A212458E92E
Windows Server 2003 英文版(64位)
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=2B566973-C3F0-4EC1-995F-017E35692BC7
Microsoft Windows XP 简体中文版(32位)
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=2354406C-C5B6-44AC-9532-3DE40F69C074
Microsoft Windows XP 英文版(32位)
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=2354406C-C5B6-44AC-9532-3DE40F69C074
Microsoft Windows XP 英文版(64位)
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1
Microsoft Windows 2000 简体中文版(支持的操作系统Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 professional)
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=C8B8A846-F541-4C15-8C9F-220354449117
Microsoft Windows 2000 英文版(支持的操作系统Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 professional)
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=C8B8A846-F541-4C15-8C9F-220354449117
Microsoft Windows NT 4.0 中文版 (支持的操作系统Windows NT, Windows NT4.0 Server, Enterprise Edition)
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F
Microsoft Windows NT 4.0 英文版 (支持的操作系统Windows NT, Windows NT4.0 Server, Enterprise Edition)
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F
Windows NT 4.0 Terminal Server Edition 英文版
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA
