blaster rpc exploit

影响系统

解决方案

blaster rpc exploit

这个漏洞跟8月冲击波(MSBlaster) 和冲击波杀手(Nachi)所用的漏洞不同，补丁KB823980对该漏洞无效,远程过程调用(RPC)是Windows 操作系统使用的一个协议。RPC提供一种内部进程通讯机制，允许在一台电脑上运行的程序无缝的执行远程系统中的代码。协议本身源于开放软件基金会

(OSF)RPC协议，但添加了一些微软特定的扩展。Windows的RPCSS服务中用于处理分布式组件对象模型(DCOM)接口的组件中存在三个漏洞，其中两个是缓冲溢出漏洞，一个是拒绝服务漏洞。它们分别是：

1、Windows RPC DCOM接口长文件名堆缓冲区溢出漏洞

Windows RPC在分布式组件对象模型(DCOM)接口的处理中存在一个缓冲区溢出漏洞。Windows的DCOM实现在处理一个参数的时候没有检查长度。通过提交一个超长（数百字节）的文件名参数可以导致堆溢出，从而使RpcSS 服务崩溃。精心构造提交的数据就可以在系统上以本地系统权限运行代码。成功利用此漏洞攻击者可以在系统中采取任何行为，包括安装程序， 窃取更改或删除数据，或以完全权限创建新帐号。

2、Windows RPC DCOM接口报文长度域堆缓冲区溢出漏洞

Windows RPC DCOM接口对报文的长度域缺乏检查导致发生基于堆的溢出，远程攻击者可以利用这些漏洞以本地系统权限在系统上执行任意指令。漏洞实质上影响的是使用RPC的DCOM接口，此接口处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。攻击者通过向目标发送畸形RPC DCOM请求来利用这些漏洞。成功利用此漏洞可以以本地系统权限执行任意指令。成功利用此漏洞攻击者可以在系统上执行任意操作 ，如安装程序、查看或更改、删除数据或创建系统管理员权限的帐户。

3、Windows RPC DCOM接口拒绝服务和权限提升漏洞

windows RPC DCOM服务存在拒绝服务缺陷，一个远程的攻击者通过发送特定的消息可以导致RPC服务产生拒绝服务攻击，而本地的攻击者可发送畸形的消息到__RemoteGetClassObject界面，可导致一个空的指令被传送到PerformScmStage函数，这会造成拒绝服务攻击，并且攻击者可以劫持epmapper的管道来达到提升权限的目的。

影响系统

Microsoft Windows NT Workstation 4.0

Microsoft Windows NT Server? 4.0

Microsoft Windows NT Server 4.0, Terminal Server Edition

Microsoft Windows 2000

Microsoft Windows XP

Microsoft Windows Server 2003

风险:高

解决方案

临时解决办法：

使用防火墙阻断如下端口：

135/UDP

137/UDP

138/UDP

445/UDP

135/TCP

139/TCP

445/TCP

593/TCP

安装相应的补丁程序：

微软已经为此发布专门的安全公告（MS03-039）和相关的补丁程序