安全公告
Microsoft 安全咨询911052
通过 RPC 的内存分配拒绝服务
发布时间: 2005 年 11 月 16 日 |更新时间:2005 年 11 月 18 日
Microsoft 知道公开报告了概念证明代码,这些代码试图利用 Microsoft Windows 2000 Service Pack 4 和 Microsoft Windows XP Service Pack 1 中可能存在的漏洞。 此漏洞可能允许攻击者执行有限持续时间的拒绝服务攻击。
在 Windows 2000 Service Pack 4 上,攻击者可能会匿名利用此漏洞。 在 Windows XP Service Pack 1 上,攻击者必须具有有效的登录凭据才能尝试利用此漏洞。 匿名用户无法远程利用该漏洞。 但是,受影响的组件可远程提供给具有标准用户帐户的用户。 已安装 Windows XP Service Pack 2 的客户不受此漏洞的影响。 此外,运行 Windows Server 2003 和 Windows Server 2003 Service Pack 1 的客户不受此漏洞的影响。
Microsoft 目前不知道使用此漏洞或客户影响的活动攻击。 但是,Microsoft 正在积极监视这种情况,使客户保持知情状态,并在必要时提供客户指导。
Microsoft 担心,Windows 2000 Service Pack 4 和 Windows XP Service Pack 1 中存在漏洞的新报告没有披露责任,可能会使计算机用户面临风险。 我们继续鼓励对漏洞进行负责任的披露。 我们认为,向供应商直接报告漏洞的普遍接受做法符合每个人的最佳利益。 这种做法有助于确保客户在开发更新时收到全面的高质量安全漏洞更新,而不会暴露给恶意攻击者。
虽然此漏洞是由安全研究人员在调查安全公告 MS05-047 解决的漏洞时发现的,但这是一个完全独立的漏洞,与 MS05-047 中讨论的漏洞无关。 我们继续鼓励客户应用 MS05-047 更新和 Microsoft 发布的所有最新安全更新。
我们继续鼓励客户遵循“保护你的电脑”指南,了解如何启用防火墙、获取软件更新和安装防病毒软件,客户可以通过访问 “保护电脑”网站了解有关这些步骤的详细信息。
缓解因素:
- 在 Windows XP Service Pack 1 上,攻击者必须具有有效的登录凭据才能尝试利用此漏洞。 匿名用户无法远程利用该漏洞。 但是,受影响的组件可远程提供给具有标准用户帐户的用户。 在某些配置中,匿名用户可以作为来宾帐户进行身份验证。 有关详细信息,请参阅 Microsoft 安全公告906574。
- 运行 Windows XP Service Pack 2、Windows Server 2003 和 Windows Server 2003 Service Pack 1 的客户不受此漏洞的影响。
- 防火墙最佳做法和标准默认防火墙配置可以帮助保护网络免受源自企业外围的攻击。 最佳做法建议连接到 Internet 的系统公开的端口数量最少。
常规信息
概述
咨询目的: 建议客户公开披露的问题,澄清该问题的范围和影响,并提供规范性指导
咨询状态: 正在调查。
建议: 查看建议的操作并根据需要进行配置。
| 参考 | 标识 |
|---|---|
| CVE 参考 | CAN-2005-3644 |
| Microsoft 知识库文章 | 911052 |
此公告讨论以下软件。
| 相关软件 |
| Microsoft Windows 2000 Service Pack 4 |
| Microsoft Windows XP Service Pack 1 |
常见问题
公告的范围是什么?
Microsoft 已注意到 Microsoft Windows 中新的内存分配拒绝服务漏洞。 这会影响“概述”部分中列出的软件。
什么是远程过程调用(RPC)?
远程过程调用 (RPC) 是 Windows 操作系统使用的协议。 RPC 提供了进程间通信机制,允许在一台计算机上运行的程序无缝访问另一台计算机上的服务。 协议本身派生自 Open Software Foundation (OSF) RPC 协议,但添加了一些特定于 Microsoft 的扩展。
这是否是要求 Microsoft 发出安全更新的安全漏洞?
此时,此问题仍在调查中。 调查完成后,可能会针对此问题发布安全更新。
造成此威胁的原因是什么?
攻击者可以将特制的恶意数据包发送到易受攻击的计算机,这可能会导致拒绝服务条件的有限持续时间。
攻击者可能使用此函数执行哪些操作?
攻击者可以将特制的恶意数据包发送到易受攻击的计算机,这可能会导致拒绝服务条件的持续时间有限。
建议的操作
解决方法
Microsoft 已测试以下解决方法。 虽然这些解决方法不会纠正基础漏洞,但它们有助于阻止已知的攻击途径。 当解决方法减少功能时,将在以下部分中标识它。
为了帮助防止基于匿名网络的连接尝试利用此漏洞,请将 RestrictAnonymous 注册表设置配置为更严格的设置:
默认情况下,在 Windows 2000 上,RestrictAnonymous 条目设置为值 0,不会限制匿名用户。 通过将注册表项设置为值 2,匿名用户在没有显式匿名权限的情况下将无法访问。 有关如何在 Windows 2000 中使用 RestrictAnonymous 注册表项的详细信息,请参阅 Microsoft 知识库文章246261。
解决方法的影响: 当 RestrictAnonymous 注册表值设置为 2 时,为未经身份验证的用户构建的访问令牌不包括“每个人”组,因此,访问令牌不再有权访问授予“每个人”组权限的资源。 这可能会导致意外行为,因为许多 Windows 2000 服务以及第三方程序依赖于匿名访问功能来执行合法任务。
在防火墙上阻止以下内容:
- UDP 端口 135、137、138 和 445 和 TCP 端口 135、139、445 和 593
- 大于 1024 的端口上所有未经请求的入站流量
- 任何其他专门配置的 RPC 端口
- 如果安装了 COM Internet Services(CIS)或 RPC,则通过 HTTP 侦听端口 80 和 443
这些端口用于启动与 RPC 的连接。 在防火墙中阻止它们有助于防止防火墙后面的系统尝试利用此漏洞。 此外,请确保阻止远程系统上任何其他专门配置的 RPC 端口。 建议阻止来自 Internet 的所有未经请求的入站通信,以帮助防止可能使用其他端口的攻击。 有关 RPC 使用的端口的详细信息,请访问以下 网站。 有关如何禁用 CIS 的详细信息,请参阅 Microsoft 知识库文章 825819。
为了帮助防止基于网络的尝试利用此漏洞,请使用个人防火墙,例如 Windows XP Service Pack 1 随附的Internet 连接ion 防火墙。
默认情况下,Windows XP Service Pack 1 中的 Internet 连接ion 防火墙功能通过阻止未经请求的传入流量来帮助保护 Internet 连接。 建议阻止来自 Internet 的所有未经请求的传入通信。
若要手动为连接配置 Internet 连接 防火墙,请执行以下步骤:
- 单击「开始」,然后单击“控制面板”。
- 在默认类别视图中,单击“网络”和“Internet 连接”,然后单击“网络连接”。
- 右键单击要启用 Internet 连接防火墙的连接,然后单击“属性”。
- 单击“高级” 选项卡。
- 单击此项可以通过限制或阻止从 Internet 检查 框中访问此计算机来选择“保护我的计算机或网络”,然后单击“确定”。
请注意,如果要使某些程序和服务能够通过防火墙进行通信,请单击“高级”选项卡上的设置,然后选择所需的程序、协议和服务。
为了帮助防止基于网络的尝试利用此漏洞,请对支持此功能的系统上启用高级 TCP/IP 筛选。
可以启用高级 TCP/IP 筛选来阻止所有未经请求的入站流量。 有关如何配置 TCP/IP 筛选的详细信息,请参阅 Microsoft 知识库文章309798。
为了帮助防止基于网络的尝试利用此漏洞,请使用受影响系统上的 IPsec 阻止受影响的端口。
使用 Internet 协议安全性(IPsec)来帮助保护网络通信。 有关 IPsec 以及如何应用筛选器的详细信息,请参阅 Microsoft 知识库文章 313190 和 Microsoft 知识库文章813878。
美国和加拿大的客户认为他们可能受此漏洞影响,他们可从 1-866-PCSAFETY 获得 Microsoft 产品支持服务的技术支持。 不支持与安全更新问题或病毒相关的支持。国际客户可以使用安全帮助和支持家庭用户网站中列出的任何方法接收支持。 所有客户都应应用 Microsoft 发布的最新安全更新,以帮助确保其系统不受尝试利用的保护。 启用了自动汇报的客户将自动接收所有 Windows 更新。 有关安全更新的详细信息,请访问 Microsoft 安全网站。
保护电脑
我们将继续鼓励客户遵循“保护你的电脑”指南,了解如何启用防火墙、获取软件更新和安装防病毒软件。 客户可以通过访问 “保护电脑”网站了解有关这些步骤的详细信息。
有关在 Internet 上保持安全的详细信息,客户可以访问Microsoft 安全主页。
使系统保持更新
所有 Windows 用户都应应用最新的 Microsoft 安全更新,以帮助确保其计算机尽可能受到保护。 如果不确定软件是否是最新的,请访问Windows 更新网站,扫描计算机以获取可用更新,并安装提供给你的任何高优先级更新。 如果启用了自动汇报,则更新会在发布时传送给你,但你必须确保安装它们。
其他信息
资源:
- 可以通过访问以下 网站完成表单来提供反馈。
- 美国和加拿大的客户可以从 Microsoft 产品支持服务获得技术支持。 有关可用支持选项的详细信息,请参阅 Microsoft 帮助和支持网站。
- 国际客户可以从其本地 Microsoft 子公司获得支持。 有关如何联系 Microsoft 以获取国际支持问题的详细信息,请访问 国际支持网站。
- Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。
免责声明:
此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修改:
- 2005 年 11 月 16 日:已发布公告
- 2005 年 11 月 18 日:公告更新为引用 CVE,并澄清此问题在 Windows 2000 Service Pack 4 上可匿名利用。
生成于 2014-04-18T13:49:36Z-07:00