源自：中国教育和科研计算机网紧急响应组（CCERT）

      微软的Windows操作系统的RPC接口又发现存在多个远程安全漏洞，入侵者可以使用这些漏洞取得本地系统权限。该漏洞的危害 程度与上月的RPC漏洞情况相同。(注意：这个漏洞跟8月份出现 的冲击波(MSBlaster)和冲击波杀手(Nachi)所用的漏洞不同，补 丁kB823980对该漏洞无效) 

漏洞的详情参见 http://www.ccert.edu.cn/advisories/all.php?ROWID=52 

漏洞描述：  

    Remote Procedure Call (RPC)是Windows 操作系统使用的 一种远程过程调用协议，RPC提供进程间交互通信机制，允许在 某台计算机上运行程序的无缝地在远程系统上执行代码。协议本 身源自开放软件基金会的 RPC协议，Microsoft在其基础上增加 了自己的一些扩展。 

    Microsoft的RPC部分在通过TCP/IP处理信息交换时存在多个 远程堆缓冲区溢出问题，远程攻击者可以利用这些漏洞以本地系 统权限在系统上执行任意指令。 

    这些漏洞是由于不正确处理畸形消息所致，漏洞实质上影响 的是使用RPC的DCOM接口。此接口处理由客户端机器发送给服务 器的DCOM对象激活请求(如UNC路径)。攻击者通过向目标发送畸 形RPC DCOM请求来利用这些漏洞。成功利用此漏洞可以以本地系 统权限执行任意指令。攻击者可以在系统上执行任意操作 ，如 安装程序、查看或更改、删除数据或创建系统管理员权限的帐 户。 

    攻击者可以通过 135(UDP/TCP), 137/UDP, 138/UDP, 139/TCP, 445(UDP/TCP), 593/TCP端口进行攻击。对于启动了 COM Internet服务和RPC over HTTP的用户来说，攻击者还可能 通过80/TCP和443/TCP端口进行攻击。 

漏洞危害：  

    这个漏洞的危害不亚于MS03-026中描述的RPC漏洞。 

    此漏洞可以通过135(TCP/UDP)、139、445、593等端口发起攻 击。由于Windows的DCOM实现在处理一个参数的时候没有检查长 度。通过提交一个超长（数百字节）的文件名参数可以导致堆溢 出，从而使RpcSS 服务崩溃。精心构造提交的数据就可以在系统 上以本地系统权限运行代码。攻击者可以在系统中采取任何行 为，包括安装程序， 窃取更改或删除数据，或以完全权限创建 新帐号。 

    鉴于处理上一个RPC漏洞的经验以及该漏洞的危害程度，在近 期可能就会出现针对该漏洞的攻击代码及蠕虫病毒，如果不引起 足够的重视，可能仍然会像Nachi蠕虫一样对网络造成致命的打 击。 

解决办法：  

    针对以上漏洞，CCERT建议用户对您的机器采取以下措施： 

1、下载安装相应的补丁程序： 

   由于这个漏洞跟8月冲击波(MSBlaster)和冲击波杀手(Nachi) 所用的漏洞不同，补丁KB823980及sp4对该漏洞无效，针对该漏 洞微软已经发布了相应的安全公告与补丁程序，你可以到我们的 网站下载，由于这个漏洞影响重大，我们建议您马上下载补丁程 序并安装： 

2、使用防火墙阻断如下端口： 
   135/UDP 
   137/UDP 
   138/UDP 
   445/UDP 
   135/TCP 
   139/TCP 
   445/TCP 
   593/TCP 

3、如果因为某些原因无法打补丁或确实不能阻塞上述端口可以 考虑暂时禁用DCOM： 
   打开"控制面板"-->"管理工具"-->"组件服务"。 
   在"控制台根目录"树的"组件服务"-->"计算 机"-->"、我的 电脑"上单击 右键，选"属性"。 
   选取"默认属性"页，取消"在此计算机上启用分布式 COM"的复选框。 
   点击下面的"确定"按钮，并退出"组件服务"。 
   注意：禁用DCOM可能导致某些应用程序运行失败和系统运 行异常。包括一些重要系统服务不能启动，所以不推荐此种方 法。应尽量根据上面的介绍打补丁或使用防火墙阻塞端口来确保 系统安全。 

注意：  

1、补丁KB823980及sp4对该漏洞无效,必须要要下载这次的补 丁 

2、由于DCOM已经被镶嵌到window的内核当中，因此我们不建 议您使用禁用DCOM的方法来防止该漏洞被利用，因为禁用DCOM可 能会导致您的系统出现许多未知的错误 

参考连接： http://www.microsoft.com/technet/security/bulletin/MS03-039.asp http://www.cert.org/advisories/CA-2003-23.html