远程过程调用 (RPC) 是 Windows 操作系统使用的一个协议。RPC 提供了一种进程间通信机制,通过这一机制,在一台计算机上运行的程序可以顺畅地执行某个远程系统上的代码。该协议本身是从 OSF(开放式软件基础)RPC 协议衍生出来的,只是增加了一些 Microsoft 特定的扩展。

RPC 中处理通过 TCP/IP 的消息交换的部分有一个漏洞。此问题是由错误地处理格式不正确的消息造成的。这种特定的漏洞影响分布式组件对象模型 (DCOM) 与 RPC 间的一个接口,此接口侦听 TCP/IP 端口 135。此接口处理客户端计算机向服务器发送的 DCOM 对象激活请求(例如通用命名约定 (UNC) 路径)。

为利用此漏洞,攻击者可能需要向远程计算机上的 135 端口发送特殊格式的请求。

减轻影响的因素:

为利用此漏洞,攻击者可能需要拥有向远程计算机上的 135 端口发送精心编造的请求的能力。对于 Intranet 环境,此端口通常是可以访问的;但对于通过 Internet 相连的计算机,防火墙通常会封堵 135 端口。如果没有封堵该端口,或者在 Intranet 环境中,攻击者就不需要有任何其他特权。

最佳做法是封堵所有实际上未使用的 TCP/IP 端口。因此,大多数连接到 Internet 的计算机应当封堵 135 端口。RPC over TCP 不适合在 Internet 这样存在着危险的环境中使用。像 RPC over HTTP 这样更坚实的协议适用于有潜在危险的环境。
要详细了解有关为客户端和服务器保护 RPC 的详细信息,请访问rpc/rpc/writing_a_secure_rpc_client_or_server.asp&>http://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/writing_a_secure_rpc_client_or_server.asp。

要了解有关 RPC 使用的端口的详细信息,请访问:http://www.microsoft.com/technet/prodtechnol/windows2000serv/
reskit/tcpip/part4/tcpappc.asp

严重等级:
Windows NT 4.0: 严重
Windows NT 4.0 Terminal Server Edition: 严重
Windows 2000: 严重
Windows XP: 严重
Windows Server 2003: 严重
上面的评估是基于受漏洞影响的系统类型、典型的部署模式以及利用漏洞对它们产生的影响作出的。

漏洞标识符:CAN-2003-0352

测试过的版本:
Microsoft 对 Windows NT 4.0、Windows 2000、Windows XP 和 Windows Server 2003 进行了测试,以便评估它们是否受这些漏洞的影响。此前的版本不再受支持,它们可能会也可能不会受这些漏洞的影响。

 

问:什么是 RPC(远程过程调用)?
答:远程过程调用 (RPC) 是一种协议,程序可使用这种协议向网络中的另一台计算机上的程序请求服务。由于使用 RPC 的程序不必了解支持通信的网络协议的情况,因此 RPC 提高了程序的互操作性。在 RPC 中,发出请求的程序是客户程序,而提供服务的程序是服务器。

问:Microsoft 的“远程过程调用”(RPC) 实现过程存在什么问题?
答:RPC 中处理 TCP/IP 上的消息交换的部分存在一个缺陷。错误地处理格式不正确的消息会导致出现错误。这种特定的错误会影响底层的 DCOM 接口,此接口侦听 TCP/IP 端口 135。通过发送格式不正确的 RPC 消息,攻击者可以使一台计算机上的 RPC 服务出现问题,进而使任意代码得以执行。

问:这是 RPC 终结点映射器中的缺陷吗?
答:不是。尽管 RPC 终结点映射器侦听 TCP 端口 135,此缺陷实际上出现在 RPC 过程中的低级别 DCOM 接口中。RPC 终结点映射器允许 RPC 客户端确定当前分配给特定 RPC 服务的端口号。终结点是服务器应用程序在其上侦听有无远程过程调用的协议端口或命名管道。客户端/服务器应用程序可以使用已知的端口或动态端口。

问:攻击者可利用此漏洞做什么?
答:如果攻击者能够成功利用此漏洞,他将能够在受影响的系统上运行拥有本地系统特权的代码。攻击者将能够对系统执行任何操作,包括安装程序,查看、更改或删除数据,或者创建拥有完全权限的新帐户。

问:攻击者会如何利用此漏洞?
答:攻击者可以通过编程方式来寻求利用此漏洞,在一台能够通过 TCP 端口 135 与易受影响的服务器通信的计算机上,发送特定类型的、格式错误的 RPC 消息。接收此类消息会导致易受影响的计算机上的 RPC 服务出现问题,进而使任意代码得以执行。

问:哪些人可能利用该漏洞?
答:任何能够向受影响的计算机上的 135 端口发送 TCP 请求的用户都能利用此漏洞。因为 Windows 的各种版本中的 RPC 请求在默认情况下是打开的,这实际上意味着任何能够与受影响的计算机建立连接的用户都能利用此漏洞。

通过其他方法也可以访问受影响的组件,例如,通过以交互方式登录到受影响的系统,或使用一个类似的以本地或远程方式向受影响的组件传递参数的应用程序。

 

由于我们学校的服务器经常提示有主机利用RPC漏洞进行攻击,为了保证服务器的安全,我禁用了RPC服务。虽然攻击没有了,但问题也来了,很多依赖于RPC服务的系统服务不能正常运行,如Messenger、Windows Installer服务等,主要症状有:启动Windows时间较长;窗口最小化后不显示在状态栏;不能复制、粘贴;打开不了第二层网页;找不到RPC服务的属性页等等。笔者想重新启用RPC服务时费了点周折。

  我的关闭方法是依次点击“管理工具→服务→Remote Procedure Call→属性”,其默认启动类别是“自动”,但选项是灰色的(不可用状态),点击标签“登录”,将硬件配置文件服务禁用,重新启动系统。

  笔者在网上查阅了大量的资料,找出启用的三种方法:

  方法一:修改注册表

  运行注册表编辑器,打开HKEY_LOCAL_MACHINE/system/CurrentControl-Set/Services/RpcSs分支,将Start项的值由“4”修改为“2”,即把启动类型设为自动,重新启动系统即可。

  方法二:使用“SC”命令

  进入“命令提示符”窗口,键入“sc config RpcSs start=auto”命令,系统会显示“SC ChangeServiceConfig SUCCESS”,这样就可以成功启用RPC服务。

  方法三:使用故障恢复控制台

  以Windows 2003系统为例,用安装光盘启动,系统进入到Windows 2003安装界面,按下“R”键登录到故障恢复控制台。在故障恢复控制台下,键入“enable RpcSs service_auto_start”命令,然后再键入“exit”命令,重新启动系统,以正常模式登录,即可成功启用RPC服务。

  笔者使用上面的几种方法都不成功,看来只有自己动手解决了。我想注册表中的某些键值一定要变,这样才能启用。

  把禁用前的备份注册表恢复到被禁用后的注册表中,提示无法导入,不成功。无法启用。

  把禁用前和禁用后的两个注册表(只取HKEY_LOCAL_MACHINE/SYSTEM分支)内容转化成Word文档,再使用Word中的“比较并合并文档”功能,就能自动找到两个注册表的不同之处。我通过比较分析,发现禁用后的注册表中有以下分支:

  1. HKEY_LOCAL_MACHINE/SYSTEM/Curr-

  entControlSet/HardwareProfiles/0001/System/CurrentControlSet/Enum/ROOT/LEGACY_RPCSS

  2.HKEY_LOCAL_MACHINE/SYSTEM/Curr-

  entControlSet/HardwareProfiles/Current/System/CurrentControlSet/Enum/ROOT/LEGACY_RPCSS

  禁用前的注册表中没有以上两个分支。通过进一步操作,发现只要删除第1个分支即可重新起用RPC服务。

  原来上面三种方法,只能应用于把RPC服务启动类型改为禁止后的情况。笔者关闭RPC服务不是改变启动类型,而是禁止与之相关联的硬件配置文件服务,“Start”项的值仍是“2”,没有变。所以先要将硬件配置文件服务启用,才能启用RPC服务。