首頁 -> 安全研究

安全研究

安全公告
綠盟科技安全公告(SA2003-06)

NSFOCUS安全小組([email protected])
http://www.nsfocus.com

Microsoft Windows RPC DCOM接口堆緩沖區溢出漏洞

發布日期:2003-09-11

CVE ID:CAN-2003-0528

受影響的軟件及系統:
====================
- Microsoft Windows NT
- Microsoft Windows XP
- Microsoft Windows 2000
- Microsoft Windows 2003

未受影響的軟件及系統:
======================
- Microsoft Windows 98

綜述:
======
NSFOCUS安全小組發現微軟Windows系統中RPC DCOM接口中存在一個遠程可利用的緩沖區溢出漏洞,遠程攻擊者可能利用這個漏洞獲取local system權限。

分析:
======
遠程過程調用(RPC)是Windows 操作系統使用的一個協議。RPC提供一種內部進程通訊機制,允許在一臺電腦上運行的程序無縫的執行遠程系統中的代碼。協議本身源于開放軟件基金會(OSF)RPC協議,但添加了一些Microsoft特定的擴展。

在Windows RPC在分布式組件對象模型(DCOM)接口的處理中存在一個緩沖區溢出漏洞。Windows 的DCOM實現在處理一個參數的時候沒有檢查長度。通過提交一個超長(數百字節)的文件名參數可以導致堆溢出,從而使RpcSS 服務崩潰。精心構造提交的數據就可以在系統上以本地系統權限運行代碼。攻擊者可以在系統中采取任何行為,包括安裝程序, 竊取更改或刪除數據,或以完全權限創建新帳號。

此漏洞可以通過135(TCP/UDP)、139、445、593等端口發起攻擊。

注意,此漏洞與MS03-026中描述的漏洞并非同一個漏洞,MS03-026(Q823980)的安全補丁并不能修復該漏洞。

解決方法:
==========
* 使用防火墻阻塞至少下列端口:

    135/UDP
    137/UDP
    138/UDP
    445/UDP

    135/TCP
    139/TCP
    445/TCP
    593/TCP
    
   在受影響主機禁用COM Internet服務和RPC over HTTP。

* 如果因為某些原因確實不能阻塞上述端口,可以考慮暫時禁用DCOM:

    打開"控制面板"-->"管理工具"-->"組件服務"。
    在"控制臺根目錄"樹的"組件服務"-->"計算機"-->"、我的電腦"上單擊
    右鍵,選"屬性"。
    選取"默認屬性"頁,取消"在此計算機上啟用分布式 COM"的復選框。
    點擊下面的"確定"按鈕,并退出"組件服務"。

    注意:禁用DCOM可能導致某些應用程序運行失敗和系統運行異常。包括一些重要系
    統服務不能啟動,綠盟科技不推薦此種方法。應盡量根據上面的介紹使用防火墻阻
    塞端口來確保系統安全。

廠商狀態:
==========
2003.07.29  通知廠商
2003.07.30  廠商證實漏洞存在
2003.09.10  微軟已就此發布了一個安全公告(MS03-039)以及相應補丁

您可以在下列地址看到微軟安全公告的詳細內容:

http://www.microsoft.com/technet/security/bulletin/ms03-039.asp

附加信息:
==========
通用漏洞披露(Common Vulnerabilities and Exposures)組織CVE已經為此問題分配了一個候選名 CAN-2003-0528。此名字是為了收錄進CVE列表做候選之用,(http://cve.mitre.org)CVE列表致力于使安全問題的命名標準化。候選名在被正式加入CVE列表之前可能會有較大的變化。

致謝:
======

本安全漏洞由綠盟科技安全小組(NSFOCUS Security Team)的袁仁廣發現。

聲 明
==========

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

關于綠盟科技
============

綠盟科技(NSFOCUS Co., Ltd.)是中國網絡安全領域的領導企業,致力于網絡和系統安全問題的研究、高端網絡安全產品的研發、銷售與網絡安全服務,在入侵檢測/保護、遠程評估、 DDoS攻擊防護等方面提供具有國際競爭能力的先進產品,是國內最具安全服務經驗的專業公司。有關綠盟科技的詳情請參見: http://www.nsfocus.com

© 2020 綠盟科技
浙江快乐彩网上投注