RpcDcom漏洞
远程过程调用 (RPC) 是 Windows 操作系统使用的一个协议。RPC 提供了一种进程间通信机制,通过这一机制,在一台计算机上运行的程序可以顺畅地执行某个远程系统上的代码。该协议本身是从 OSF(开放式软件基础)RPC 协议衍生出来的,只是增加了一些 Microsoft 特定的扩展。
RPC 中处理通过 TCP/IP 的消息交换的部分有一个漏洞。此问题是由错误地处理格式不正确的消息造成的。这种特定的漏洞影响分布式组件对象模型 (DCOM) 与 RPC 间的一个接口,此接口侦听 TCP/IP 端口 135。此接口处理客户端计算机向服务器发送的 DCOM 对象激活请求(例如通用命名约定 (UNC) 路径)。
为利用此漏洞,攻击者可能需要向远程计算机上的 135 端口发送特殊格式的请求。
为利用此漏洞,攻击者可能需要拥有向远程计算机上的 135 端口发送精心编造的请求的能力。对于 Intranet 环境,此端口通常是可以访问的;但对于通过 Internet 相连的计算机,防火墙通常会封堵 135 端口。如果没有封堵该端口,或者在 Intranet 环境中,攻击者就不需要有任何其他特权。
最佳做法是封堵所有实际上未使用的 TCP/IP 端口。因此,大多数连接到 Internet 的计算机应当封堵 135 端口。RPC over TCP 不适合在 Internet 这样存在着危险的环境中使用。像 RPC over HTTP 这样更坚实的协议适用于有潜在危险的环境。
要详细了解有关为客户端和服务器保护 RPC 的详细信息,请访问 http://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/writing_a_secure_rpc_client_or_server.asp。
要了解有关 RPC 使用的端口的详细信息,请访问http://www.microsoft.com/technet/prodtechnol/windows2000serv/
reskit/tcpip/part4/tcpappc.asp
解决方法。
在防火墙上封堵 135 端口。
135 端口用于启动与远程计算机的 RPC 连接。在防火墙上封堵 135 端口,可以帮助防火墙内的系统防范通过利用此漏洞进行的攻击。
Internet 连接防火墙。
如果您在使用 Windows XP 或 Windows Server 2003 中的 Internet 连接防火墙来保护您的 Internet 连接,则默认情况下会阻止来自 Internet 的入站 RPC 通信信息。
禁用所有受影响的计算机上的 DCOM
如果一台计算机是一个网络的一部分,则该计算机上的 COM 对象将能够通过 DCOM 网络协议与另一台计算机上的 COM 对象进行通信。您可以禁用特定的计算机上的 DCOM,帮助其防范此漏洞,但这样做会阻断该计算机上的对象与其他计算机上的对象之间的所有通信。
如果您禁用一台远程计算机上的 DCOM,此后,您将无法通过远程访问该计算机来重新启用 DCOM。要重新启用 DCOM,需要本地操作该计算机。
手动为计算机启用(或禁用) DCOM:
运行 Dcomcnfg.exe
如果您在运行 Windows XP 或 Windows Server 2003,则还要执行下面这些步骤:
单击“控制台根节点”下的“组件服务”。
打开“计算机”子文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。
对于远程计算机,请以右键单击“计算机”文件夹,然后选择“新建”,再选择“计算机”。输入计算机名称。以右键单击该计算机名称,然后选择“属性”。
选择“默认属性”选项卡。
选择(或清除)“在这台计算机上启用分布式 COM”复选框。
如果您要为该计算机设置更多属性,请单击“应用”按钮以启用(或禁用) DCOM。否则,请单击“确定”以应用更改并退出 Dcomcnfg.exe。
查看缓冲区溢出的日志,然后找到rpcdcom 的进程,添加到缓冲区溢出的“排除”里。
缓冲区溢出不是好事,你要仔细查找原因。
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024