当前位置: 首页 -> 学院公告 -> 正文

关于window RPC系列漏洞的安全公告

发布日期:2003-08-12 发布单位:网络中心   点击量:

关于window RPC系列漏洞的安全公告

关于window RPC系列漏洞的安全公告

校园网各用户:

7月16日波兰的一个安全组织LSD公布了一个Windows操作系统的一个安全漏洞,这个漏洞号称迄今为止window系统中发现的最严重的一个系统漏洞。

影响系统: Windows 2000, Windows XP / Windows 2003

CVE参考: CAN-2003-0352

McAfee 命名为:W32/Lovsan.worm

简单描述:

W32.Blaster.Worm 是一种利用DCOM RPC 漏洞进行传播的蠕虫,传播能力很强。

详细描述请参照Microsoft Security Bulletin MS03-026

(http://www.microsoft.com/technet/security/bulletin/MS03-026.asp)

感染蠕虫可能导致系统不稳定,有可能造成系统崩溃 ,它扫描端口号是TCP/135,

传播成功后他会利用tcp/4444和UDP 69端口下载并运行它的代码程序Msblast.exe.

这个蠕虫还将对windowsupdate.com进行拒绝服务攻击。这样做的目的是为了不能使您及时地得网络控制方法:

如果您不需要应用这些端口来进行服务,为了防范这种蠕虫,你应该在防火墙上阻塞TCP port 4444 ,

和下面的端口:

TCP 4444 蠕虫开设的后门端口,用于远程控制

UDP Port 69, 用于文件下载

TCP Port 135, 微软:DCOM RPC

注意:

1、针对第一个漏洞的补丁并没有包括在window 2000 sp4中,你需要下载单独的热修补补丁。

2、由于rpc服务已经被镶嵌到window的内核当中,因此我们不建议您使用关闭rpc服务的方

法来防止该漏洞被利用,因为关闭rpc服务可能会导致您的系统出现许多未知的错误

3、当您的系统突然弹出了svchost.exe出现异常错误的对话框或者是135端口突然被关闭,很

可能表示你已经受到了这类攻击,请尽快采取相应的措施。

解决办法:

针对以上漏洞,建议用户对您的机器采取以下措施:

1、下载安装相应的补丁程序:

针对第一个漏洞微软已经发布了相应的安全公告与补丁程序,你可以到我们的网站下载:

winnt

win2000

winxp

win2003

针对其他两个漏洞,微软目前还没有发布相应的补丁程序,我们建议您使用window自动update

功能,随时关注厂商的动态,你也可以参考http://www.ccert.edu.cn

我们会在第一时间提供相应的补丁程序下载2、使用防火墙关闭所有不必要的端口,根据我们现在掌握的信息,这些漏洞不仅仅影响135端口,

它影响到大部分调用DCOM函数的服务端口,因此CCERT建议用户使用网络或是个人防火墙过滤以

下端口:

135/TCP epmap

135/UDP epmap

139/TCP netbios-ssn

139/UDP netbios-ssn

445/TCP microsoft-ds

445/UDP microsoft-ds

593/TCP http-rpc-epmap

593/UDP http-rpc-epmap

3、使用IDS系统检测来自于网络上的攻击,IDS规则如下:

alert tcp $EXTERNAL_NET any -> $HOME_NET 445

(msg:"NETBIOS SMB DCERPC ISystemActivator bind attempt"; flow:to_server,established;

content:"|FF|SMB|25|"; nocase; offset:4; depth:5; content:"|26 00|"; distance:56;

within:2; content:"|5c 00|P|00|I|00|P|00|E|00 5c 00|"; nocase; distance:5; within:12;

content:"|05|"; distance:0; within:1; content:"|0b|"; distance:1; within:1;

byte_test:1,&,1,0,relative; content:"|A0 01 00 00 00 00 00 00 C0 00 00 00 00 00 00 46|";

distance:29; within:16; reference:cve,CAN-2003-0352;classtype:

attempted-admin; sid:2193; rev:1;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 135

(msg:"NETBIOS DCERPC ISystemActivator bind attempt"; flow:to_server,established;

content:"|05|"; distance:0; within:1; content:"|0b|"; distance:1; within:1; byte_test:

1,&,1,0,relative; content:"|A0 01 00 00 00 00 00 00 C0 00 00 00 00 00 00 46|";

distance:29; within:16; reference:cve,CAN-2003-0352; classtype:attempted-admin;

sid:2192; rev:1;)

上一条:研究生招生信息

下一条:党办通知

热点新闻

图片新闻

更多>>