=============================================
漏洞/弱点报警：
微软Windows RPCSS异常的DCOM 消息缓冲区溢出弱点
=============================================

　　今天微软公布了一个新的Windows安全漏洞。如果有人恶意地利用此漏洞，那么，其所生产的危害要远远高于被"冲击波"、Sobig和"冲击波杀手"等蠕虫利用的、于7月公布的RPC漏洞。

　　 这个与RPC有关的漏洞一旦被恶意的用户利用，可能会造成"拒绝服务"攻击，或者使黑客可以访问用户系统内的所有资源。了可产生"拒绝服务"攻击的开发程序编码已于2003年7月20日被公布，这个潜在的弱点/攻击非常有可能被黑客所利用。

请注意：这是一个新的漏洞，它与7月公布的RPC漏洞是不同的。

漏洞描述：

　　 微软Windows包含了缓冲区溢出的弱点，该弱点可能使黑客执行用户系统内任意代码。该漏洞的产生是源于COM因特网服务运行时，RPC服务（RPCSS）调用了异常的DCOM消息。

冠群金辰公司建议：

应用微软公司的安全漏洞补丁，中文操作系统的补丁文件下载地址如下：

Windows NT Workstation:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=7EABAD74-9CA9-48F4-8DB5-CF8C188879DA
注：系统要安装Windows NT 4.0版本的Service Pack 6a

Windows NT Server 4.0:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=71B6135C-F957-4702-B376-2DACCE773DC0
注：系统要安装Windows NT 4.0版本的Service Pack 6a.

Windows 2000:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=F4F66D56-E7CE-44C3-8B94-817EA8485DD1
注：系统要安装Windows 2000版本的 Service Pack 3或Service Pack 4

Windows XP:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=5FA055AE-A1BA-4D4A-B424-95D32CFC8CBA
注：系统要安装Windows XP Gold或Service Pack 1

Windows Server 2003:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=51184D09-4F7E-4F7B-87A4-C208E9BA4787
注：系统要安装Windows Server 2003 Gold

Windows 2000 Service Pack 5、Windows XP Service Pack 2和Windows Server 2003 Service Pack 1 将包含解决该漏洞的补丁。

微软安全公告MS03-026 和 MS01-048包含了修复该问题的补丁。

临时性防护方法：

　　 尽管微软已强烈要求所有用户近早安装补丁文件进行防护，但还是会有大量的机器或其它工作区没能及时应用补丁文件加以防护，阻塞可能产生的攻击。所以，你可以考虑使用以下临时性方法，防护或阻塞潜在的攻击：

A）在你的防火墙上屏蔽UDP135、137、138、445端口和TCP135、139、445、593端口，在受侵害的系统上，禁止COM Internet Services （CIS）服务和 RPC over HTTP在80和443端口的监听，这些端口是RPC与远程的计算机发起连接时用到的端口。在防火墙上阻塞它们，将有助于保护系统，防止企图利用此漏洞并穿越防火墙的攻击。你还应该确保并阻塞任何在远程机器上所设置的其它特殊的RPC端口。一旦被激活，CIS和RPC over HTTP允许
DCOM 调用运行在TCP 的80端口（及XP 与Windows Server 2003的443端口），所以，要确保在受侵害的系统上禁用CIS和RPC over HTTP。
更多的有关禁用CIS的信息可以在微软的基础知识文章825819中找到，关于RPC over HTTP的信息，可以看
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/rpc_over_http_security.asp。

B）使用个人防火墙，如：Internet Connection Firewall （只在XP 和Windows Server 2003系统上有效），并在受侵害的系统上禁用CIS和RPC over HTTP在80和443端口的监听，尤其是使用VPN或类似应用的可以远程连接到公司内部网络的任何机器。
如果你在Windows XP 和Windows Server 2003上使用Internet Connection Firewall保护你的Internet连接，它默认将阻塞从Internet入站的RPC流量，同时，要确保在受侵害的系统上禁用CIS和RPC over HTTP。
更多的有关禁用CIS的信息可以在微软的基础知识文章825819中找到，关于RPC over HTTP的信息，可以看
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/rpc_over_http_security.asp。

C）使用IPSEC过滤器阻塞可能受侵袭的端口，并在受侵害的系统上禁用CIS和RPC over HTTP在80和443端口的监听。
如果你使用Internet Protocol Security (IPSec)，你可以在基于Windows 2000的计算机上保护网络通信。你可以在微软基础知识文章313190和813878中找到关于IPSec的详细的信息和如何应用这个过滤器的知识，并确保在受侵害的系统上禁用CIS和RPC over HTTP。

D）当计算机作为网络的一个部分时，要在所有可能受侵害的机器上禁用DCOM，DCOM电信协议可以使一台机器上的COM对象与另一台机器上的COM对象进行通信。你可以在特定的计算机上禁用DCOM，以帮助阻止这个攻击，但这样做将阻断这两台机器上的两个对象之间的所有通信。如果你在远程的机器上禁用了DCOM，你将不能远程访问那台机器，直到DCOM重新被启用。要启用DCOM，你必须对那台机器进行物理的访问。在微软基础知识825750的文章中有关于如何有效地禁用DCOM的信息。

注：对于Windows 2000系统，上述的方法只能工作在运行Service Pack 3或以上的系统，如果你使用的是Service Pack 2 或更低的版本应该进行升级，或使用其它工作区。

受侵害的系统：
Windows 2000 Advanced Server，
Windows 2000 Advanced Server SP1,
Windows 2000 Advanced Server SP2,
Windows 2000 Advanced Server SP3,
Windows 2000 Advanced Server SP4,
Windows 2000 Professional ,
Windows 2000 Professional SP1,
Windows 2000 Professional SP2,
Windows 2000 Professional SP3,
Windows 2000 Professional SP4,
Windows 2000 Server ,
Windows 2000 Server SP1,
Windows 2000 Server SP2,
Windows 2000 Server SP3,
Windows 2000 Server SP4,
Windows NT Server 4 .0,
Windows NT Server 4 .0 Enterprise Edition SP6a,
Windows NT Server 4 .0 SP1,
Windows NT Server 4 .0 SP2,
Windows NT Server 4 .0 SP3,
Windows NT Server 4 .0 SP4,
Windows NT Server 4 .0 SP5,
Windows NT Server 4 .0 SP6,
Windows NT Server 4 .0 SP6a,
Windows NT Server Terminal Server Edition ,
Windows NT Server Terminal Server Edition SP6,
Windows NT Workstation 4 .0,
Windows NT Workstation 4 .0 SP1,
Windows NT Workstation 4 .0 SP2,
Windows NT Workstation 4 .0 SP3,
Windows NT Workstation 4 .0 SP4,
Windows NT Workstation 4 .0 SP5,
Windows NT Workstation 4 .0 SP6,
Windows NT Workstation 4 .0 SP6a,
Windows Server 2003 Datacenter Edition ,
Windows Server 2003 Enterprise Edition ,
Windows Server 2003 Enterprise Edition, 64-bit ,
Windows Server 2003 Standard Edition ,
Windows Server 2003 Web Edition ,
Windows XP 64-bit Edition ,
Windows XP 64-bit Edition SP1 ,
Windows XP Home Edition ,
Windows XP Home Edition SP1,
Windows XP Professional ,
Windows XP Professional SP1.

影响：远程黑客可以执行用户系统上任何程序和编码

根本原因：软件的弱点

参考信息：
Mitre CVE CAN-2003-0715
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0715
Microsoft MS03-039
http://www.microsoft.com/technet/security/bulletin/MS03-039.asp
Mitre CVE CAN-2003-0528
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0528