基点俱乐部

 找回密码
 成为基民

QQ登录

只需一步,快速开始

搜索
查看: 7701|回复: 0

Windows 再现漏洞,当心新的“冲击波”

[复制链接]
发表于 2003-9-12 09:12 | 显示全部楼层 |阅读模式
微软周三警告说,在Windows操作系统中发现重要安全漏洞,这可能导致攻击者获得对计算机的控制权,删除数据并安装用户不想要的程序。

  这一漏洞与微软七月警告的漏洞类似,安全专家当时称之为最糟糕的漏洞之一,因为这导致了Windows操作系统受到严重影响,在一个月后,大量电脑被“冲击波”蠕虫感染。

  微软负责安全计算的杰夫-琼斯表示,黑客现在显然还没有针对新的漏洞,他说:“我们担忧的是,历史表明总有坏人会利用这种机会发起攻击。”

  受到最新漏洞影响的计算机操作系统是Windows NT 4.0、Windows 2000、Windows XP和Windows Server 2003,其他版本的Windows,如Windows Me、Windows 98、Windows 95,将不会受到影响。

详细描述:

远程过程调用(RPC)是Windows 操作系统使用的一个协议。RPC提供一种内部进程通讯机制,
允许在一台电脑上运行的程序无缝的执行远程系统中的代码。协议本身源于开放软件基金会
(OSF)RPC协议,但添加了一些微软特定的扩展。

最近发现Windows的RPCSS服务中用于处理分布式组件对象模型(DCOM)接口的组件中存在三个
漏洞,其中两个是缓冲溢出漏洞,一个是拒绝服务漏洞。它们分别是:

1、Windows RPC DCOM接口长文件名堆缓冲区溢出漏洞
Windows RPC在分布式组件对象模型(DCOM)接口的处理中存在一个缓冲区溢出漏洞。Windows
的DCOM实现在处理一个参数的时候没有检查长度。通过提交一个超长(数百字节)的文件名参数
可以导致堆溢出,从而使RpcSS 服务崩溃。精心构造提交的数据就可以在系统上以本地系统权限
运行代码。成功利用此漏洞攻击者可以在系统中采取任何行为,包括安装程序, 窃取更改或
删除数据,或以完全权限创建新帐号。

2、Windows RPC DCOM接口报文长度域堆缓冲区溢出漏洞
Windows RPC DCOM接口对报文的长度域缺乏检查导致发生基于堆的溢出,远程攻击者可以
利用这些漏洞以本地系统权限在系统上执行任意指令。
漏洞实质上影响的是使用RPC的DCOM接口,此接口处理由客户端机器发送给服务器的DCOM对
象激活请求(如UNC路径)。攻击者通过向目标发送畸形RPC DCOM请求来利用这些漏洞。成功利
用此漏洞可以以本地系统权限执行任意指令。成功利用此漏洞攻击者可以在系统上执行任意操
作 ,如安装程序、查看或更改、删除数据或创建系统管理员权限的帐户。

3、Windows RPC DCOM接口拒绝服务和权限提升漏洞
windows RPC DCOM服务存在拒绝服务缺陷,一个远程的攻击者通过发送特定的消息可以导
致RPC服务产生拒绝服务攻击,而本地的攻击者可发送畸形的消息到__RemoteGetClassObject
界面,可导致一个空的指令被传送到PerformScmStage函数,这会造成拒绝服务攻击,并且攻
击者可以劫持epmapper的管道来达到提升权限的目的。

风险:高

解决方案:

临时解决办法:
使用防火墙阻断如下端口:
    135/UDP
    137/UDP
    138/UDP
    445/UDP

    135/TCP
    139/TCP
    445/TCP
    593/TCP

安装相应的补丁程序:
微软已经为此发布专门的安全公告(MS03-039)和相关的补丁程序,你可以到我们的网站上下载,
由于这个漏洞影响重大,我们建议您马上下载补丁程序并安装:

win2000补丁:

中文版

英文版

winxp补丁:

中文版

英文版

win2003补丁:

中文版

英文版

参考连接:

http://www.microsoft.com/technet/security/bulletin/MS03-039.asp
回复

使用道具 举报

*滑块验证:
您需要登录后才可以回帖 登录 | 成为基民

本版积分规则

手机客户端|基点俱乐部 ( 粤ICP备16117437号-1 )

GMT+8, 2025-5-25 21:01

Copyright © 2001-2021, 基点俱乐部.

快速回复 返回顶部 返回列表