:::
:::首頁 > 網路安全服務 > 政府網路危機處理中心 > 最新訊息
 
 
ICON 最新訊息 ICON 相關服務
ICON 中心簡介 ICON 相關網站
最新訊息
 
事件通告
分隔線
Microsoft DNS Server RPC 含有可能允許遠端執行程式碼的弱點(zero-day)(2007/04/16)
 
詳細描述:
微軟才剛發佈安全弱點更新不久,又有一個 zero-day弱點的攻擊程式出現,該攻擊程式針對Microsoft DNS Server 的RPC 管理介面而來,受影響的作業系統包括Microsoft Windows 2000 Server SP4、Windows Server 2003 SP1、Windows Server 2003 SP2。

Microsoft DNS service 使用RPC 介面來作為遠端管理功能,所使用的通訊埠通常為1024/TCP 與5000/TCP 之間。 而弱點可能起因於Windows Domain Name System (DNS) Server 的RPC 介面處理惡意RPC 連線要求時,會造成系統記憶體堆疊溢位錯誤,可讓遠端未受到授權的惡意人士藉由發送惡意RPC 連線要求至目標主機,即可在受駭主機上以SYSTEM 權限執行任意程式碼。目前發現惡意人士會對攻擊目標主機作TCP 通訊埠掃描,找出RPC介面所使用的埠號為何後,再發送惡意RPC連線要求取得目標主機的系統權限,最後上傳惡意程式,竊取系統帳號密碼。

微軟表示目前正在調查弱點起因,而DNS service 解析網域名稱的功能(port 53) 是不受影響的,強調也不排除提前發佈修補程式,另外,特別要注意的是含有大量使用者帳號的Active Directory 伺服器,只要受駭就會造成大量帳號密碼洩露,加上網路上已經出現攻擊程式,中華電信SOC建議管理者設定防火牆規則以降低受駭風險,並參考以下所整理的緩衝措施:

  • 停用DNS Servers 透過RPC 功能的遠端管理介面
    1. 將下列登錄檔設定,貼入文字檔編輯器,並另存成".reg"檔案:(請將下列文字中斜線左右兩旁的空白移除)
      Windows Registry Editor Version 5.00
      [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ DNS \ Parameters]
      "RpcProtocol"=dword:00000004
    2. 執行該登錄檔案套用設定
    3. 重新啟動DNS service
  • 設定防火牆規則阻擋TCP 與 UDP port 445,及其他大於port 1024 的非必要的連線要求。
  • 注意:以上的緩衝措施將會導致DNS service 遠端管理功能被停用。
參考資料:
 
 
下框