Remote Procedure Call (RPC)是Windows操作系统使用的一种远程过程调用协议,RPC提供进程间交互通信机制,允许在某台计算机上运行的程序无缝地在远程系统上执行代码。协议本身源自OSF RPC协议,但增加了Microsoft特定的扩展。
Microsoft的RPC部分在通过TCP/IP处理信息交换时存在问题,远程攻击者可以利用这个漏洞以本地系统权限在系统上执行任意指令。
此漏洞是由于不正确处理畸形消息所致,漏洞影响使用RPC的DCOM接口。此接口处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。攻击者成功利用此漏洞可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作,如安装程序、查看或更改、删除数据或建立系统管理员权限的帐户。
要利用这个漏洞,攻击者需要发送特殊形式的请求到远程机器上的135端口。
危害描述:
远端攻击者可以利用这个漏洞获得本地系统权限来运行任意代码或引起拒绝服务(Dos)。
影响范围:
Microsoft Windows XP
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows Server 2003
解决方案:
1、防火墙安全设置
使用防火墙过滤系统的135端口。
2、安装最新厂商补丁
目前,微软已经发布安全公告MS03-026,并公布了相应Windows产品的补丁集。补丁集的详细介绍请见微软安全公告MS03-026。补丁集的安装过程可能涉及到主机的重启动或重要服务的中断,请提前做好相关准备和备份。
