今日“RPC系列漏洞”病毒发作，我校损失惨重！

1)西区招生全部停止！

2)东区几乎全部开机微机都有反映：不断警告、关机。

所有微机都要打补丁，方法如下：

======================================================================================================================

CCERT 关于window RPC系列漏洞的安全公告

7月16日波兰的一个安全组织LSD公布了一个Windows操作系统的一个安全漏洞，这个漏洞号称

迄今为止window系统中发现的最严重的一个系统漏洞

（漏洞的详情参见http://www.ccert.edu.cn/advisories/all.php?ROWID=48）

随后各安全组织对该漏洞展开了相关的研究，在研究的过程中国内的安全组织又发现了与之相

关的两个同类型的漏洞，并上报了微软，但是目前厂商还没有提供相关的补丁程序。因此到目

前为止针对window rpc系列实际上存在三个类似的漏洞，它们分别是：

1、Microsoft RPC接口远程任意代码可执行漏洞

漏洞描述：

Remote Procedure Call(RPC)是Windows操作系统使用的一种远程过程调用协议,RPC协议提供

一种进程间的交互通信机制，它允许本地机器上的程序进程无缝的在远程系统中运行代码。

该协议的前身是OSF RPC协议，但是增加了微软自己的一些扩展。

最近发现部分RPC在使用TCP/IP协议处理信息交换时不正确的处理畸形的消息导致存在一个

安全漏洞。该漏洞影响使用RPC的DCOM接口，这个接口用来处理由客户端机器发送给服务器

的DCOM对象激活请求(如UNC路径)。如果攻击者成功利用了该漏洞将获得本地系统权限，他

将可以在系统上运行任意命令，如安装程序、查看或更改、删除数据或者是建立系统管理员

权限的帐户等。

要利用这个漏洞，攻击者需要发送特殊形式的请求到远程机器上的135端口.

2、Microsoft DCOM RPC接口拒绝服务及权限提升漏洞

漏洞描述：

Remote Procedure Call(RPC)是Windows操作系统使用的一种远程过程调用协议,RPC协议提供

一种进程间的交互通信机制，它允许本地机器上的程序进程无缝的在远程系统中运行代码。

该协议的前身是OSF RPC协议，但是增加了微软自己的一些扩展。

:q 最近发现MS RPC在处理畸形消息时存在问题，远程攻击者可以利用这个漏洞进行拒绝服务攻

击，在RPC服务崩溃后，可用来权限提升攻击。攻击者发送畸形消息给

DCOM __RemoteGetClassObject接口，RCP服务就会崩溃，所有依靠RPC服务的应用程序和服务

就会变的不正常。

如果攻击者拥有合法帐户，在RPC服务崩溃后他还可以劫持管道和135端口进行权限提升攻击。

3、window RPC接口未知漏洞

漏洞描述：

由于该漏洞影响面太大而厂商又未推出相应的补丁程序，因此目前并未公布该漏洞的详细技术

细节，但是发现该漏洞的组织中联绿盟信息技术(北京)有限公司在报告中有提到如下警告：

该漏洞可以使入侵者轻而易举的进入Windows 2000、Windows XP、Windows2003 Server系统。

攻击者可以通过该漏洞取得系统的控制权，完全控制被入侵的系统，窃取文件，破坏资料。

因为该漏洞和以往发现的安全漏洞不同，不仅影响作为服务器的Windows系统，同样也会影响个

人电脑，所以潜在的受害者数量非常多。

漏洞危害：

7月23号网络上发布了DCOM RPC接口拒绝服务攻击的程序代码，7月26日window RPC接口远程缓

冲溢出的攻击程序代码被公布，这样就导致即便是一个对该漏洞技术细节毫不了解的人也能使

用这些代码去攻击网络上的其他机器以达到拒绝服务攻击的目的或是获得相应的系统权限。目

前公布的代码是对系统版本有针对性的，但是通用于各系统版本中的攻击代码正在测试中，相

信在稍后的几天内便会被公布出来，一旦这种攻击代码被公布出来，只需要很小的技术上的改

造就可以改编成蠕虫，如果利用这个漏洞蠕虫被发布出来，它的威力将远远超过codered和

slammer，可能会给整个互联网络带来致命的打击。

解决办法：

针对以上漏洞，CCERT建议用户对您的机器采取以下措施：

1、下载安装相应的补丁程序：

针对第一个漏洞微软已经发布了相应的安全公告与补丁程序，你可以到我们的网站下载：

winnt

win2000

winxp

win2003

针对其他两个漏洞，微软目前还没有发布相应的补丁程序，我们建议您使用window自动update

功能，随时关注厂商的动态，你也可以关注我们的主页http://www.ccert.edu.cn/

我们会在第一时间提供相应的补丁程序下载

2、使用防火墙关闭所有不必要的端口，根据我们现在掌握的信息，这些漏洞不仅仅影响135端口，

它影响到大部分调用DCOM函数的服务端口，因此CCERT建议用户使用网络或是个人防火墙过滤以

下端口：

135/TCP epmap

135/UDP epmap

139/TCP netbios-ssn

139/UDP netbios-ssn

445/TCP microsoft-ds

445/UDP microsoft-ds

593/TCP http-rpc-epmap

593/UDP http-rpc-epmap

3、使用IDS系统检测来自于网络上的攻击，IDS规则如下:

alert tcp $EXTERNAL_NET any -> $HOME_NET 445

(msg:"NETBIOS SMB DCERPC ISystemActivator bind attempt"; flow:to_server,established;

content:"|FF|SMB|25|"; nocase; offset:4; depth:5; content:"|26 00|"; distance:56;

within:2; content:"|5c 00|P|00|I|00|P|00|E|00 5c 00|"; nocase; distance:5; within:12;

content:"|05|"; distance:0; within:1; content:"|0b|"; distance:1; within:1;

byte_test:1,&,1,0,relative; content:"|A0 01 00 00 00 00 00 00 C0 00 00 00 00 00 00 46|";

distance:29; within:16; reference:cve,CAN-2003-0352;classtype:

attempted-admin; sid:2193; rev:1;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 135

(msg:"NETBIOS DCERPC ISystemActivator bind attempt"; flow:to_server,established;

content:"|05|"; distance:0; within:1; content:"|0b|"; distance:1; within:1; byte_test:

1,&,1,0,relative; content:"|A0 01 00 00 00 00 00 00 C0 00 00 00 00 00 00 46|";

distance:29; within:16; reference:cve,CAN-2003-0352; classtype:attempted-admin;

sid:2192; rev:1;)

注意：

1、针对第一个漏洞的补丁并没有包括在window 2000 sp4中，你需要下载单独的热修补补丁。

2、由于rpc服务已经被镶嵌到window的内核当中，因此我们不建议您使用关闭rpc服务的方

法来防止该漏洞被利用，因为关闭rpc服务可能会导致您的系统出现许多未知的错误

3、当您的系统突然弹出了svchost.exe出现异常错误的对话框或者是135端口突然被关闭，很

可能表示你已经受到了这类攻击，请尽快采取相应的措施。

网络中心

2003-8-12