微软最牛RPC漏洞MS08-067全处理方案
正文:
近期微软爆出四年以来最严重的安全漏洞,赛迪网安全频道特邀请安全专家张晓兵撰文,为大众 解读此次微软MS08-067漏洞,并针对于此给出了完全 的处理 方安全案。
第一部分:MS08-067漏洞与趋势剖析
2008年10月23日,微软爆出特大安全漏洞,几乎影响所有Windows系统,强烈建议广大用户及时下载安装该漏洞补丁。
成功使用 该漏洞的远程攻击者,可能会使用 此疑问 危及基于Microsoft Windows系统的安全,并获取对该系统的控制权。
这是微软近一年半以来首次突破 每月定期揭晓 安全公告惯例而紧急揭晓 的更新通告。
该安全漏洞可能准许 远程执行代码,假如 受影响的系统收到了特制伪造的RPC请求。在Microsoft Windows 2000、Windows xp 和Windows Server 2003系统,攻击者能够 使用 此漏洞无需议决 认证运行随意 代码。这个漏洞还可能被蠕虫使用 ,此安全漏洞能够 议决 恶意构造的网络包直接发起攻击,并且攻击者能够 获取完整权限,因此该漏洞很可能会被用于打造 蠕虫以实行 大规模的攻击。
受影响的操作系统如下:
Windows xp Professional x64 Edition
Microsoft Windows 2000 Service Pack 4
Windows xp Service Pack 2
Windows xp Service Pack 3
Windows xp Professional x64 Edition
Windows xp Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 SP1(用于基于 Itanium 的系统)
Windows Server 2003 SP2(用于基于 Itanium 的系统)
Windows Vista 和 Windows Vista Service Pack 1
Windows Vista x64 Edition 和 Windows Vista x64 Edition Service Pack 1
Windows Server 2008(用于 32 位系统)
Windows Server 2008(用于基于 x64 的系统)
Windows Server 2008(用于基于 Itanium 的系统)
Windows 7 Beta(用于 32 位系统)
Windows 7 Beta x64 Edition
Windows 7 Beta(用于基于 Itanium 的系统)
此外,在微软揭晓 补丁之前有关 攻击已经被少量捕获,溢出代码在补丁发放日已经公开,并且 在当天已经有应急组织捕获到有关 样本。
从当前 的情况看,已经在较长的时间里没有类似机制漏洞出现。当前 各应急组织、运营商、用户准备不足,因此应该警惕根据该漏洞制造的病毒在近期大规模爆发。
对于该漏洞在未来一段时间内的成长 趋势,安天认为该漏洞可能造成病毒感染数目 的显著上升、可能导致盗号窃密事件的显著上升、可能短时间内造成傀儡主机数目 的增长并产生新的僵尸网络、可能关联造成网络探测、扫描、DDoS攻击事件的添加 及垃圾邮件的传达 。
由于服务器系统有关 防护比较严格,受到的影响相对较小,其直接攻击可能会带动挂马事件的小幅上升,但不会有重大影响。其对挂马的关联影响可能首要 表现在攻击者可能在短时间内获取更多的探测节点,从而找到更多的可注入WEB节点。
在地域形式上,国内用户受影响程度要远高于欧美地区,这是因为国内用户运用 的操作系统版本受该漏洞影响比率要远高于欧美户。并且 受到近期Windows黑屏事件影响,部分用户可能会关上 补丁升级机制。另外,国产 大量运用 的一些盗版定制系统,破坏了windows系统的一些内建安全机制。这些情况都会导致国内的潜在疫情要远高于国外。
第二部分:MS08-067漏洞的终端用户处理 方案
这是一个针对139、445端口的RPC服务实行 攻击的漏洞,能够 直接获取系统控制权。根据微软的消息,该攻击无法 穿透DEP机制的保卫 ,对正版用户,该漏洞对xp SP2以上版本(含SP2)和Server 2003 SP1(含SP1)系统无效,因此首要 受到恐吓 的用户应该是Windows 2000和Windows xp SP2以前版本用户。但由于一些盗版传达 中,被人为降低了安全级别或者修改过安全机制,因此除了上述版本的用户也有可能受到攻击。
据安天推选 ,一些常规的处理 思路是,当有重大远程漏洞发生时,对于不须要 及时 连接的系统,能够 思虑 先断网检测安全配置,然后采用调整防火墙和安全策略的方式保证联网打补丁时段的安全,然后再实行 补丁升级。
一、桌面与工作站用户的安全配置方案
桌面系统首要
实行 这样的配置 不仅能够 阻断MS08-067攻击,并且 能够 阻断所有相似 针对主机固定端口的攻击,缺点是假如 主机提供打印共享、网络共享目录等服务则会失效,在CS、FIFA等游戏中无法 作为host主机运用 ,还可能与蓝波宽带拨号程序冲突。
1、Windows自带防火墙的有关 配置
步骤1:在控制面板中找到防火墙。
步骤2:挑选 修改 配置 ,此时Vista 系统的安全机制可能须要 灰屏确认,请挑选 是。
步骤3:启动防火墙并挑选 阻止所有传入连接。
2、其它防火墙的安全配置
假如 Windows系统的防火墙不支持本项配置 ,可议决 其他防火墙实现,以安天盾防火墙不花钱 工具为例。
步骤1:议决 单击Windows开始菜单中安天安全中心项目,或者单击托盘中的安天安全中心图标,启动有关 配置。
步骤2:在安天安全中心界面上点击配置 。
步骤3:将策略挑选 为系统初装。
二、不须要 开放RPC服务的服务器安全配置方案
网络服务器用户以固定端口对外实行 服务,因此无法 采用阻断所有传入连接的方式实行 配置,否则会失效。而从WindowNT Server到Server 2008,不须要 开放RPC服务器的用户能够 不依靠 任何安全工具,仅凭借Windows Server自身安全机制既可实现屏蔽,假如 仅是直接关上 RPC服务,会给本机维护 带来一些麻烦。
步骤1:点击右键,挑选 网络连接属性。
步骤2:点击Internet 协议(TCP/IP)属性。
步骤3:在弹出的Internet协议(TCP/IP)属性对话框中点击“高级”。
步骤4:对TCP/IP筛选中点击属性。
步骤5:在TCP/IP筛选中配置准许 访问的端口,只要不包含TCP139和445则MS08-067 RPC攻击失效。
www.caiwu51.com方案图片11" border="0" />
三、须要 开放RPC服务的服务器安全配置方案
须要 开放RPC服务的服务器,如网络打印、网络共享和一些RPC通讯调用的节点,无法 够议决 上述关上 端口的方式,否则会造成无效。能够 转而采用打补丁、打开DEP策略,或安装主机IPS的要领 。下面推选 一下系统DEP保卫 配置的要领 。
步骤1:我的计算机 右键点击属性,点击“高级”页中的“配置 ”按钮。
步骤2:设定数据执行保卫 策略,修改后重新启动计算机 。
在这里,实行 不一样 的挑选 会有不一样 的成效 ,假如 挑选 “仅为基本Windows程序和服务启用DEP”功能,则能够 挡住本次RPC攻击,也能够 挡住当前 主流的针对Windows开放端口的攻击。在取得 必须 的安全性的情况下,保证系统的兼容性。但是缺点是无法 保卫 类似IE阅读 器、Outlook等比较脆弱的互联网运用 程序,无法 防备 类似挂马注入的攻击。
假如 挑选 “为除下列选定程序之外的所有程序和服务启用DEP”功能,则在上述成效 的基本 上,对Web挂马、各种运用 软件插件注入都有很好的成效 ,具有更强的系统安全性,不过缺点是与部分运用 程序冲突,但能够 议决 将冲突的程序配置 为例外来处理 。
四、安装相应补丁,处理 安全隐患
根据自身 系统情况寻找地址安装单一补丁,是一个有效修补漏洞并规避微软黑屏策略影响的要领 。
微软的补丁都能够 离线安装,能够 挑选 将有漏洞的系统断网,从安全的系统上下载补丁再用移动存储复制到有漏洞的系统下。
本次MS08-067严重漏洞各系统补丁地址如下:
中文操作系统KB958644补丁下载地址:
Windows Vista 安全更新程序 (KB958644)
http://download.microsoft.com/download/d/c/0/dc047ab9-53f8-481c-8c46-528b7f493fc1/Windows6.0-KB958644-x86.msu
Windows Server 2008 x64 Edition 安全更新程序 (KB958644)
http://download.microsoft.com/download/0/f/4/0f425c69-4a1f-4654-b4f8-476a5b1bae1d/Windows6.0-KB958644-x64.msu
Windows Server 2003 x64 Edition 安全更新程序 (KB958644)
http://download.microsoft.com/download/9/8/e/98eff1c8-f2e2-43a4-abf7-7fb0315a09f7/WindowsServer2003.Windowsxp -KB958644-x64-CHS.exe
Windows Server 2003 安全更新程序 (KB958644)
http://download.microsoft.com/download/8/4/4/84403755-aa0a-41ba-bded-7cbbc8dc218c/WindowsServer2003-KB958644-x86-CHS.exe
Windows Server 2008 安全更新程序 (KB958644)
http://download.microsoft.com/download/4/9/8/498e39f6-9f49-4ca5-99dd-761456da0012/Windows6.0-KB958644-x86.msu
Windows 2000 安全更新程序 (KB958644)
http://download.microsoft.com/download/4/9/7/49751d3a-e93b-48fb-95de-2a229e602004/Windows2000-KB958644-x86-CHS.EXE
用于基于 x64 的系统的 Windows Vista 安全更新程序(KB958644)
http://download.microsoft.com/download/1/5/0/15089485-0e8b-41f9-8617-58e8cdda8c7e/Windows6.0-KB958644-x64.msu
Windows xp 安全更新程序 (KB958644)
http://download.microsoft.com/download/a/5/f/a5fcaabe-ff81-4d4f-972e-865bdc60dcbf/Windowsxp -KB958644-x86-CHS.exe
英文操作系统KB958644补丁下载地址:
Security Update for Windows 2000 (KB958644)
http://download.microsoft.com/download/4/a/3/4a36c1ea-7555-4a88-98ac-b0909cc83c18/Windows2000-KB958644-x86-ENU.EXE
Security Update for Windows Server 2003 x64 Edition (KB958644)
http://download.microsoft.com/download/f/7/6/f761e8ee-caad-4528-aa47-ed5d744be523/WindowsServer2003.Windowsxp -KB958644-x64-ENU.exe
Security Update for Windows 7 Pre-Beta for Itanium-based Systems (KB958644)
http://download.microsoft.com/download/f/6/3/f639c726-86bb-4f3a-a783-5e03fc665af4/Windows6.1-KB958644-ia64.msu
Security Update for Windows xp x64 Edition (KB958644)
http://download.microsoft.com/download/5/8/1/5811b6cc-5884-4486-b05d-de69f0e94f67/WindowsServer2003.Windowsxp -KB958644-x64-ENU.exe
Security Update for Windows Vista (KB958644)
http://download.microsoft.com/download/d/c/0/dc047ab9-53f8-481c-8c46-528b7f493fc1/Windows6.0-KB958644-x86.msu
Security Update for Windows Server 2003 for Itanium-based Systems (KB958644)
http://download.microsoft.com/download/1/8/e/18efd717-b406-4a19-98d5-5ee80351bedf/WindowsServer2003-KB958644-ia64-ENU.exe
Security Update for Windows 7 Pre-Beta (KB958644)
http://download.microsoft.com/download/c/0/7/c07fca67-b0e2-4c9c-9c1f-9cde37131747/Windows6.1-KB958644-x86.msu
Security Update for Windows Server 2008 x64 Edition (KB958644)
http://download.microsoft.com/download/0/f/4/0f425c69-4a1f-4654-b4f8-476a5b1bae1d/Windows6.0-KB958644-x64.msu
Security Update for Windows 7 Pre-Beta x64 Edition (KB958644)
http://download.microsoft.com/download/d/4/6/d467b363-8825-4fa9-87fb-7cb4a9cedb56/Windows6.1-KB958644-x64.msu
Security Update for Windows xp (KB958644)
http://download.microsoft.com/download/4/f/a/4fabe08e-5358-418b-81dd-d5038730b324/Windowsxp -KB958644-x86-ENU.exe
Security Update for Windows Server 2008 for Itanium-based Systems (KB958644)
http://download.microsoft.com/download/8/b/c/8bc5a4e6-ba02-4bb9-947f-f253caeaa271/Windows6.0-KB958644-ia64.msu
Security Update for Windows Server 2003 (KB958644)
http://download.microsoft.com/download/e/e/3/ee322649-7f38-4553-a26b-a2ac40a0b205/WindowsServer2003-KB958644-x86-ENU.exe
Security Update for Windows Server 2008 (KB958644)
http://download.microsoft.com/download/4/9/8/498e39f6-9f49-4ca5-99dd-761456da0012/Windows6.0-KB958644-x86.msu
Security Update for Windows Vista for x64-based Systems (KB958644)
http://download.microsoft.com/download/1/5/0/15089485-0e8b-41f9-8617-58e8cdda8c7e/Windows6.0-KB958644-x64.msu
第三部分:MS08-067漏洞企业级安全处理 方案
Windows操作系统下的Server服务在处理RPC请求的流程 中存在一个漏洞,远程攻击者能够 议决 发送恶意的RPC请求触发这个溢出,导致完全入侵用户系统,以系统权限执行随意 指令并获取数据。该漏洞可导致蠕虫攻击,类似冲击波蠕虫。
一、端口策略
维护 员能够 议决 防火墙和路由装备 阻断TCP 139和445端口,制止蠕虫进入内网。
二、终端配置策略
请参考第二部分内容。
三、扩展检测
运用 安天AVL SDK反病毒引擎的防火墙和UTM厂商能够 运用 RPCscan.so模块。
四、SNORT用户可添加以下准则 :
(有关
链接:http://www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/Exp
LOIT/Exp
LOIT_MS08-067?rev=1.1)
www.caiwu51.comright">
如果觉得《微软最牛RPC漏洞MS08-067全处理方案》不错,可以推荐给好友哦。
文章关键字:电脑培训学习 - 操作系统 - windowsxp,windowsxp操作系统知识,windowsxp使用教程
与微软最牛RPC漏洞MS08-067全处理方案 相关的文章
- ·上一篇:小技巧 把安全模式添加进系统启动菜单
- 微软最牛RPC漏洞MS08-067全处理方案
- › 微软最牛RPC漏洞MS08-067全处理方案
- 在百度中搜索相关文章:微软最牛RPC漏洞MS08-067全处理方案
- 在谷歌中搜索相关文章:微软最牛RPC漏洞MS08-067全处理方案
- 在soso中搜索相关文章:微软最牛RPC漏洞MS08-067全处理方案
- 在搜狗中搜索相关文章:微软最牛RPC漏洞MS08-067全处理方案