9月10日微软紧急发布了最新的RPC漏洞信息,攻击者只要向远程计算机上的135端口发送特殊格式的请求,就可以获得对远程计算机的完全控制,这使得攻击者能够对服务器随意执行任何操作,包括更改网页、格式化硬盘或者向本地管理员组中添加新的用户。
此漏洞将会影响运行Microsoft Windows的用户:
RPC是Windows操作系统使用的一个协议,它提供了一种进程间通信机制。通过这一机制,在一台计算机上运行的程序可以顺畅地执行某个远程系统上的代码,该协议本身是从 OSF(开放式软件基础)RPC协议衍生出来的,只是增加了一些Microsoft特定的扩展。
RPC中处理通过TCP/IP的消息交换的部分有一个漏洞,此问题是由错误地处理格式不正确的消息造成的,这种特定的漏洞影响分布式组件对象模型(DCOM)与RPC间的一个接口,此接口监听TCP/IP端口135,此接口处理客户端计算机向服务器发送的DCOM对象激活请求,例如通用命名约定(UNC)路径。
此漏洞是由于Windows RPC服务在某些情况下不能正确检查消息输入而造成的。如果攻击者在RPC建立连接后发送某种类型的格式不正确的RPC消息,则会导致远程计算机上与 RPC之间的基础分布式组件对象模型(DCOM)接口出现问题,进而使任意代码得以执行而135端口则成了问题出现的最根本的起源。
对于服务器而言,我们现在需要做的就是尽可能快地封上你的135端口,以下是一些安全配置方法:
在防火墙上封堵135端口
135端口用于启动与远程计算机的RPC连接,连接到Internet的计算机应当在防火墙上封堵135端口,用以帮助防火墙内的系统防范通过利用此漏洞进行的攻击,使用防火墙关闭所有不必要的端口,漏洞不仅仅影响135端口,还影响到大部分调用DCOM函数的服务端口,建议用户使用网络或是个人防火墙过滤以下端口:
如果你在使用Widows XP或Widows Server2003中的Internet连接防火墙来保护你的Internet连接,则默认情况下会阻止来自Internet的入站RPC通信信息。
方案一:关闭病毒攻击的TCP/IP端口
使用Windows自带的TCP/P筛选功能。打开默认的网络连接属性,单击"属性",选择常规页的TCP/IP,再单击"属性"、"高级",进入下一页。选择"TCP/IP筛选"、"属性",在TCP和UDP端口设置中选择"只允许",添加相应的端口,如80用于IE测览,其他的端口根据应用程序的设定相应修改,最后确定就OK了!
方案二:使用金山网镖或者天网防火墙
网镖高级功能可以非常方便地实现封闭和开放端口的功能单击莫面右下角"金山网镖"的图标,在弹出的菜单中选择"配置"选项,然后选择"高级页"。选中使用IP包过滤技术,添加TCP、UDP的135、139、445端口,最新捕获的"新流言"病毒还要关闭4444端口……请注意在做这一切前请先升级你的反病毒软件和防火墙。
禁用所有受影响的计算机上的DCOM
如果一台计算机是一个网络的一部分,则该计算机上的 COM 对象将能够通过 DCOM 网络协议与另一台计算机上的 COM对象进行通信,你可以禁用特定的计算机上的DCOM,帮助其防范此漏洞(但这样做会阻断该计算机上的对象与其他计算机上的对象之间的所有通信)。
如果你禁用一台远程计算机上的DCOM,此后,你将无法通过远程访问该计算机来重新启用DCOM,要重新启用 DCOM,需要本地操作该计算机。
手动为计算机启用(或禁用)DCOM
1.运行Dcomcnfg.exe。如果你使用Widows XP或Widows Server2003,则还要执行下面这些步骤
单击"控制台根节点"下的"组件服务",打开"计算机"子文件夹。对于本地计算机,请以右键单击"我的电脑",然后选择"属性"。对于远程计算机,请以右键单击"计算机"文件夹。然后选择"新建",再选择"计算机"。输入计算机名称,以右键单击该计算机名称,然后选择"属性"。
2.选择"默认属性"选项卡。
3.选择(或清除)"在这台计算机上启用分布式COM"复选框。
4.如果要为该计算机设置更多属性,请单击"应用"按钮以启用(或禁用)DCOM。否则,请单击"确定"以应用更改并退出Dcomcnfg.exe。
立刻为你的计算机打相应的补丁
Windows Server 2003中文版(32位)
http://www.microsoft.com/downloads/dtails.aspx?displaylang=zhcn&FamilyID=2354406C-C5B6-44AC-9532-3DE40F69C074
Microsoft Windows 2000简体中文版
http://www.microsoft.com/downloads/details.aspx?displaylang=zhcn&FamilyID=C8B8A846-F541-4C15-8C9F-220354449117
Microsoft Windows NT 4.0中文版
http://www.microsoft.com/downloads/details.aspx?displaylang=zhcn&FamilyID=2CC6F4E-217E-4FA7-BDBF-DF77A0B9303F
