9月10日微軟緊急發(fā)布了最新的RPC漏洞信息,攻擊者只要向遠(yuǎn)程計(jì)算機(jī)上的135端口發(fā)送特殊格式的請求,就可以獲得對遠(yuǎn)程計(jì)算機(jī)的完全控制,這使得攻擊者能夠?qū)Ψ?wù)器隨意執(zhí)行任何操作,包括更改網(wǎng)頁、格式化硬盤或者向本地管理員組中添加新的用戶。
此漏洞將會影響運(yùn)行Microsoft Windows的用戶:
RPC是Windows操作系統(tǒng)使用的一個(gè)協(xié)議,它提供了一種進(jìn)程間通信機(jī)制。通過這一機(jī)制,在一臺計(jì)算機(jī)上運(yùn)行的程序可以順暢地執(zhí)行某個(gè)遠(yuǎn)程系統(tǒng)上的代碼,該協(xié)議本身是從 OSF(開放式軟件基礎(chǔ))RPC協(xié)議衍生出來的,只是增加了一些Microsoft特定的擴(kuò)展。
RPC中處理通過TCP/IP的消息交換的部分有一個(gè)漏洞,此問題是由錯誤地處理格式不正確的消息造成的,這種特定的漏洞影響分布式組件對象模型(DCOM)與RPC間的一個(gè)接口,此接口監(jiān)聽TCP/IP端口135,此接口處理客戶端計(jì)算機(jī)向服務(wù)器發(fā)送的DCOM對象激活請求,例如通用命名約定(UNC)路徑。
此漏洞是由于Windows RPC服務(wù)在某些情況下不能正確檢查消息輸入而造成的。如果攻擊者在RPC建立連接后發(fā)送某種類型的格式不正確的RPC消息,則會導(dǎo)致遠(yuǎn)程計(jì)算機(jī)上與 RPC之間的基礎(chǔ)分布式組件對象模型(DCOM)接口出現(xiàn)問題,進(jìn)而使任意代碼得以執(zhí)行而135端口則成了問題出現(xiàn)的最根本的起源。
對于服務(wù)器而言,我們現(xiàn)在需要做的就是盡可能快地封上你的135端口,以下是一些安全配置方法:
在防火墻上封堵135端口
135端口用于啟動與遠(yuǎn)程計(jì)算機(jī)的RPC連接,連接到Internet的計(jì)算機(jī)應(yīng)當(dāng)在防火墻上封堵135端口,用以幫助防火墻內(nèi)的系統(tǒng)防范通過利用此漏洞進(jìn)行的攻擊,使用防火墻關(guān)閉所有不必要的端口,漏洞不僅僅影響135端口,還影響到大部分調(diào)用DCOM函數(shù)的服務(wù)端口,建議用戶使用網(wǎng)絡(luò)或是個(gè)人防火墻過濾以下端口:
如果你在使用Widows XP或Widows Server2003中的Internet連接防火墻來保護(hù)你的Internet連接,則默認(rèn)情況下會阻止來自Internet的入站RPC通信信息。
方案一:關(guān)閉病毒攻擊的TCP/IP端口
使用Windows自帶的TCP/P篩選功能。打開默認(rèn)的網(wǎng)絡(luò)連接屬性,單擊"屬性",選擇常規(guī)頁的TCP/IP,再單擊"屬性"、"高級",進(jìn)入下一頁。選擇"TCP/IP篩選"、"屬性",在TCP和UDP端口設(shè)置中選擇"只允許",添加相應(yīng)的端口,如80用于IE測覽,其他的端口根據(jù)應(yīng)用程序的設(shè)定相應(yīng)修改,最后確定就OK了!
方案二:使用金山網(wǎng)鏢或者天網(wǎng)防火墻
網(wǎng)鏢高級功能可以非常方便地實(shí)現(xiàn)封閉和開放端口的功能單擊莫面右下角"金山網(wǎng)鏢"的圖標(biāo),在彈出的菜單中選擇"配置"選項(xiàng),然后選擇"高級頁"。選中使用IP包過濾技術(shù),添加TCP、UDP的135、139、445端口,最新捕獲的"新流言"病毒還要關(guān)閉4444端口……請注意在做這一切前請先升級你的反病毒軟件和防火墻。
禁用所有受影響的計(jì)算機(jī)上的DCOM
如果一臺計(jì)算機(jī)是一個(gè)網(wǎng)絡(luò)的一部分,則該計(jì)算機(jī)上的 COM 對象將能夠通過 DCOM 網(wǎng)絡(luò)協(xié)議與另一臺計(jì)算機(jī)上的 COM對象進(jìn)行通信,你可以禁用特定的計(jì)算機(jī)上的DCOM,幫助其防范此漏洞(但這樣做會阻斷該計(jì)算機(jī)上的對象與其他計(jì)算機(jī)上的對象之間的所有通信)。
如果你禁用一臺遠(yuǎn)程計(jì)算機(jī)上的DCOM,此后,你將無法通過遠(yuǎn)程訪問該計(jì)算機(jī)來重新啟用DCOM,要重新啟用 DCOM,需要本地操作該計(jì)算機(jī)。
手動為計(jì)算機(jī)啟用(或禁用)DCOM
1.運(yùn)行Dcomcnfg.exe。如果你使用Widows XP或Widows Server2003,則還要執(zhí)行下面這些步驟
單擊"控制臺根節(jié)點(diǎn)"下的"組件服務(wù)",打開"計(jì)算機(jī)"子文件夾。對于本地計(jì)算機(jī),請以右鍵單擊"我的電腦",然后選擇"屬性"。對于遠(yuǎn)程計(jì)算機(jī),請以右鍵單擊"計(jì)算機(jī)"文件夾。然后選擇"新建",再選擇"計(jì)算機(jī)"。輸入計(jì)算機(jī)名稱,以右鍵單擊該計(jì)算機(jī)名稱,然后選擇"屬性"。
2.選擇"默認(rèn)屬性"選項(xiàng)卡。
3.選擇(或清除)"在這臺計(jì)算機(jī)上啟用分布式COM"復(fù)選框。
4.如果要為該計(jì)算機(jī)設(shè)置更多屬性,請單擊"應(yīng)用"按鈕以啟用(或禁用)DCOM。否則,請單擊"確定"以應(yīng)用更改并退出Dcomcnfg.exe。
立刻為你的計(jì)算機(jī)打相應(yīng)的補(bǔ)丁
Windows Server 2003中文版(32位)
http://www.microsoft.com/downloads/dtails.aspx?displaylang=zhcn&FamilyID=2354406C-C5B6-44AC-9532-3DE40F69C074
Microsoft Windows 2000簡體中文版
http://www.microsoft.com/downloads/details.aspx?displaylang=zhcn&FamilyID=C8B8A846-F541-4C15-8C9F-220354449117
Microsoft Windows NT 4.0中文版
http://www.microsoft.com/downloads/details.aspx?displaylang=zhcn&FamilyID=2CC6F4E-217E-4FA7-BDBF-DF77A0B9303F
