不可不防的一个漏洞

7月份，互联网上出现了“Windows RPC DCOM接口远程缓冲区溢出”漏洞。不久，利用此漏洞传播的“冲击波”蠕虫、“冲击波杀手”蠕虫及其多种变种蠕虫也纷纷登场，在互联网上疯狂传播，造成了成百上千的网络瘫痪。

更可怕的漏洞

在“冲击波”蠕虫病毒的影响尚未平息时，国内某安全公司在研究7月微软公布的Windows RPC DCOM接口远程缓冲区溢出漏洞时发现了Windows系统上另外一个同样严重的安全问题，该问题较之前者更加隐蔽，该漏洞也可以使入侵者轻而易举地进入Windows 2000/XP、Windows 2003 Server系统，是一个与7月发现的RPC漏洞同样可怕的新漏洞。这个新漏洞就是：Windows RPC DCOM长文件名堆溢出漏洞。我们下面要介绍的就是关于这个新的RPC漏洞的危害及如何进行补漏。
这个漏洞的具体情况是：RPC（Remote Procedure Call）协议用来提供进程间通信，允许程序运行远程机器上的代码。由于Windows RPC DCOM接口对文件名长度缺乏检查，通过传递超长参数会导致发生基于堆的溢出，能以系统权限执行任意代码，攻击者可以通过该漏洞取得系统的控制权，完全控制被入侵的系统，窃取文件，破坏资料。因为该漏洞和以往发现的安全漏洞不同，不仅影响作为服务器的Windows系统，同样也会影响个人电脑。攻击者可以通过 135(UDP/TCP)、137（UDP)、138(UDP)、139(TCP)、445(UDP/TCP)、593(TCP)端口进行攻击。对于启动了COM Internet服务和RPC over HTTP的用户来说，攻击者还可能通过80/TCP和443/TCP端口进行攻击。受此漏洞影响的系统包括所有没打过此漏洞补丁的Microsoft Windows 2000/XP、Windows NT 4.0、Windows 2003 Standard Edition、Windows Terminal Services。不受影响的系统包括：Microsoft Windows 98/ME。微软关于此漏洞的安全公告网址是：http://www.microsoft.com/technet/security/bulletin/ms03-039.asp。
许多专家预测，利用这个新安全漏洞编写的蠕虫将很快在互联网上出现。根据病毒的编写方式和传播速度，新病毒将减慢计算机网络和互联网通信，互联网可能再次受到类似“冲击波”蠕虫的一种新病毒的袭击，那将会是互联网的另一场浩劫。所以广大管理员们绝不能轻视这个漏洞，一定要对网络内的服务器和工作站及时做好补漏工作，防患于未然。
补漏刻不容缓
如何检测您的网络中的服务器和工作站的RPC漏洞修补情况呢？如何才能快速查知机器是否打了补丁呢？这里给大家推荐一个工具—SDcomScanner.exe。它是微软公司推出的最新的扫描RPC DCOM漏洞修补情况的工具，下载地址：http://www.microsoft.com/downloads/details.aspx?FamilyId=13AE421B-7BAB-41A2-843B-FAD838FE472E&displaylang=en。我们可以用它来帮我们检测主机是否存在这个漏洞。该工具在命令行下使用，包含了对MS03-039和MS03-026漏洞修补情况的检测。用法是：
Usage: MSDcomScanner [/?] [/i:input_file] [/l[:log_file]]   [/o:out_file]
                 [/r] [/t:timeout] [/v] target ...
Targets can take any of the following forms:
a.b.c.d             - IP address
a.b.c.d-i.j.k.l     - IP address range
a.b.c.d/mask        - IP address with CIDR mask
host                - unqualified hostname
host.domain.com     - fully-qualified domain name
localhost           - check local machine
如果要扫描某台主机的补漏情况，只要输入：MSDcomScanner 192.168.0.1。如果我们现在要扫描192.168.0.1-192.168.0.254内的主机的Dcom漏洞情况，只要输入：MSDcomScanner 192.168.0.1-192.168.0.254就行。如果要把结果保存到指定文件中还可以加参数/o:filename。
扫描结果显示：“Checking 192.168.0.1 - 192.168.0.254，192.168.0.1: unpatched……”，如图1，发现一台没有打补丁的主机。

图1

虽然到目前为止还没有发现利用此漏洞传播的蠕虫，但是这个漏洞的溢出代码已经在网上流传，此漏洞的黑客攻击工具已经大量出现。利用这种工具实施攻击非常简单，能轻易拿到System权限的远程访问权，被黑客利用来进行入侵。所以无论是否出现蠕虫，修补漏洞都是很必要的。
如何修补这个漏洞呢？前面已经介绍了这个RPC DCOM长文件名堆溢出漏洞与7月发现的那个MS-026安全公告公布的RPC DCOM漏洞是不同的，所以那个漏洞的补丁以及Windows 2000 SP4补丁都解决不了这个漏洞，必须安装微软发布的针对这个DCOM长文件名堆溢出漏洞的补丁才行。下载地址：
Windows 2000
http//www.microsoft.com/downloads/details.aspx?FamilyId=F4F66D56-E7CE-44C3-8B94-817EA8485DD1&displaylang=zh-cn。
Windows XP
http://www.microsoft.com/downloads/details.aspx?FamilyId=5FA055AE-A1BA-4D4A-B424-95D32CFC8CBA&displaylang=zh-cn。
Windows XP 64 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=50E4FB51-4E15-4A34-9DC3-7053EC206D65。
Windows XP 64 bit Edition Version 2003
http://www.microsoft.com/downloads/details.aspx?FamilyId=80AB25B3-E387-441F-9B6D-84106F66059B。
Windows Server 2003
http://www.microsoft.com/downloads/details.aspx?FamilyId=51184D09-4F7E-4F7B-87A4-C208E9BA4787&displaylang=zh-cn。
Windows Server 2003 64 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=80AB25B3-E387-441F-9B6D-84106F66059B。
如果有条件可以使用防火墙阻塞下列端口以防止黑客和蠕虫利用此漏洞进行攻击：135/UDP、137/UDP、138/UDP、445/UDP、135/TCP、139/TCP、445/TCP、593/TCP。
如果因为某些原因确实不能阻塞上述端口，可以考虑暂时禁用DCOM。打开“管理工具”→“组件服务”，在“控制台根目录”树的“组件服务”→“计算机”→“我的电脑”上单击右键，选“属性”，取“默认属性”页，取消“在此计算机上启用分布式 COM”的复选框，如图2。

图2

不过用DCOM可能导致某些应用程序运行失败和系统运行异常，包括一些重要系统服务不能启动，这种解决方法只能暂时使用。

作者:浙江 心羽