【资料分享】微软最新漏洞[2003.9.10]

上帝

Microsoft Security Bulletin MS03-039 Print  
Buffer Overrun In RPCSS Service Could Allow Code Execution (824146)
Originally posted: September 10, 2003
  
Summary
Who should read this bulletin: Users running Microsoft ?Windows ?
  
Impact of vulnerability: Three new vulnerabilities, the most serious of which could enable an attacker to run arbitrary code on a user抯 system.  
  
Maximum Severity Rating: Critical  
  
Recommendation: System administrators should apply the security patch immediately  
  
End User Bulletin:
An end user version of this bulletin is available at:  
  
http://www.microsoft.com/security/security_bulletins/ms03-039.asp.  
  
Protect your PC:
Additional information on how you can help protect your PC is available at the following locations:  
  
End Users can visit http://www.microsoft.com/protect  
IT Professionals can visit http://www.microsoft.com/technet/security/tips/pcprotec.asp  
Affected Software:  
  
   
Microsoft Windows NT Workstation 4.0  
Microsoft Windows NT Server?4.0  
Microsoft Windows NT Server 4.0, Terminal Server Edition  
Microsoft Windows 2000  
Microsoft Windows XP  
Microsoft Windows Server 2003  
Not Affected Software:  
Microsoft Windows Millennium Edition  
  
回复：当地时间9月10日星期三，微软公司表示，他们在Windows操作系统又发现了3处明显漏洞。这些漏洞有可能是系统再次遭受诸如“冲击波”等病毒的感染。  
  
据悉，这些漏洞主要存在于Windows NT 4.0、Windows 2000、Windows Server 2003、Windows XP，以及64位Windows XP等版本操作系统中。目前，微软公司已经在其站点上发布了相应的补丁程序。  
  
据微软透露，前两处漏洞为“缓冲器溢出”，该漏洞可以使黑客通过海量恶意数据致使系统崩溃。第三处漏洞为“拒绝服务式攻击”，即所谓的“远程程序调用(RPC)”。该漏洞可能导致文件或其他办公设备被强迫共享。另外，通过向RPC程序发送恶意数据，黑客可以被授权访问系统内的所有资源。  
  
因此，通过这三处漏洞，黑客可以利用“缓冲器溢出”的漏洞向计算机发送大量恶意数据，然后再通过受感染的计算机发起“拒绝服务”攻击。  
  
而数周前刚刚爆发的“冲击波”病毒就是利用类似的漏洞，向全球的计算机系统发送恶意数据来攻击微软的服务器系统的。  
  
微软公司本周三称：“如果黑客发现了其中的任何一处漏洞，都可以远程的形式控制任何一台受感染的系统。这样，黑客就可以为所欲为了。其中包括更改网页、重新格式化硬盘，已经向本地管理员组中添加新用户。”  
  
微软公司安全响应中心的安全程序经理Stephen Toulouse表示：“尽管属于不同的漏洞，但新发现的这3处漏洞与‘冲击波’病毒所利用的漏洞极为相似，被黑客所攻击的端口也相同。”  
  
目前，微软公司呼吁用户尽快下载补丁程序。同时，微软也将修改其当前的“补丁提供”程序。目前公司主要通过网站下载的形式提供补丁程序，但这恰恰给了病毒以可乘之机。（转载天天安全网）
  
回复：新一轮的补丁竞赛又开始了！据安全专家称，利用在当前Windows系统最新发现漏洞进行攻击的病毒或蠕虫很快就会出现了。因这个新发现的漏洞同上次被“冲击波”蠕虫攻击时所利用的漏洞相似。  
  
赛门特克的负责安全的紧急反应小组的高级工程师主管Alfred Huger表示：“这个漏洞同上次的类似。预计新的蠕虫很快就会被人编写出来。”利用这种漏洞进行攻击的代码已经在一些研究人员之间进行交换。估计新的蠕虫或病毒在未来几天就会出现了。  
  
据网络协会的负责市场的副总Robin Matlock表示，预计利用这个漏洞进行攻击蠕虫将在几周后出来。毕竟漏洞和利用这个漏洞还是有一段时间的。  
  
微软已经公布了一个补丁以及扫描工具，以确保其Windows系统能打上补丁。微软以及一些安全公司都在敦促其商业用户以及普通用户尽快采用补丁。  
  
据微软称，增加新的补丁和扫描工具是必要的。如果用户只下载补丁而不用旧的扫描工具，则该扫描工具就会提示未打补丁。  
  
据悉这次发布了windows的三个漏洞，其中两个可被黑客用作进行缓冲溢流攻击，并借此控制用户的电脑或安装程序。另一个漏洞是DOS（拒绝服务）攻击所利用的漏洞。（转自计算机世界网）
  
回复：微软主页地址
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-039.asp
  
八月中，波兰的一个安全组织LSD公布了一个Windows操作系统的严重安全漏洞，详见(http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=5147)中联绿盟在第一时间分析研究了该漏洞并向客户发出了告警。在研究该漏洞的过程中，绿盟又发现了Windows系统上另外一个同样严重的安全问题，该问题较之前者更加隐蔽。该漏洞可以使入侵者轻而易举地进入Windows 2000、Windows XP、Windows2003 Server系统，堪称有史以来Windows系统上最严重的安全漏洞，绿盟科技于2003年7月29日通报给微软，9月10日微软就此问题发布了安全公告：  
  
http://www.microsoft.com/technet/security/bulletin/ms03-039.asp  
  
攻击者可以通过该漏洞取得系统的控制权，完全控制被入侵的系统，窃取文件，破坏资料。因为该漏洞和以往发现的安全漏洞不同，不仅影响作为服务器的Windows系统，同样也会影响个人电脑，所以潜在的受害者数量非常之多。“冲击波”蠕虫的影响目前还未完全消除，微软被发现的的安全漏洞一旦被利用编写成蠕虫，将会是互联网的另一场浩劫。  
  
解决方法：  
  
==========  
  
*使用防火墙阻塞至少下列端口：  
  
135/UDP  
  
137/UDP  
  
138/UDP  
  
445/UDP  
  
135/TCP  
  
139/TCP  
  
445/TCP  
  
593/TCP  
  
在受影响主机禁用COM Internet服务和RPC over HTTP。  
  
*如果因为某些原因确实不能阻塞上述端口，可以考虑暂时禁用DCOM：  
  
打开"控制面板"-->"管理工具"-->"组件服务"。  
  
在"控制台根目录"树的"组件服务"-->"计算机"-->"、我的电脑"上单击右键，选"属性"。  
  
选取"默认属性"页，取消"在此计算机上启用分布式COM"的复选框。  
  
点击下面的"确定"按钮，并退出"组件服务"。  
  
注意：禁用DCOM可能导致某些应用程序运行失败和系统运行异常。包括一些重要系统服务不能启动，绿盟科技不推荐此种方法。应尽量根据上面的介绍使用防火墙阻塞端口来确保系统安全。（转自天天网）
  
回复：补丁地址：
  
http://download.microsoft.com/download/b/7/0/b70274a0-33a6-486c-a626-5842d8587449/WindowsNT4Server-KB824146-x86-CHS.EXE
  
http://download.microsoft.com/download/f/2/6/f261319a-6803-47d7-b497-aae9c0d45b47/WindowsXP-KB824146-x86-CHS.exe
  
http://download.microsoft.com/download/3/d/0/3d0add40-08f9-406d-a233-1fb550d6ded3/Windows2000-KB824146-x86-CHS.exe