唔知同我個問題有冇關系!!
最新Windows嚴重保安漏洞致即時死機patch
病毒種類: Worm
具破壞性: 不會
別名: W32/Lovsan.worm, Lovsan, W32.Blaster.Worm
可偵測之最新病毒碼: 604
可偵測之最新掃瞄引擎: 5.600
最新消息Windows 嚴重保安漏洞致即時死機
自昨晚深夜時份起,大量使用Windows NT4,XP,2000及2003 作業系統的用戶因系統中一個在上月被現的系統保安漏洞引致系統即時死機, 並自行執行關機程序在60秒後自動關閉電腦,即使重新開機亦無法解決問題只會繼續重復上述情況. 若使用以上任何一套作業系統的用戶請即時安裝系統修補程序,初步估計藉由該漏洞發動的攻擊將會持續數日.
Windows RPC系列漏洞(就是60秒自動重起)
7月16日波蘭的一個安全組織LSD公布了一個Windowsxx作系統的一個安全漏洞,這個漏洞號稱
迄今為止Windows系統中發現的最嚴重的一個系統漏洞
(漏洞的詳情參見http://www.ccert.edu.cn/advisories/all.php?ROWID=48)隨後各安全組織對該漏洞展開了相關的研究,在研究的過程中國內的安全組織又發現了與之相關的兩個同類型的漏洞,並上報了微軟,但是目前廠商還沒有提供相關的補丁程序。因此到目前為止針對window rpc系列實際上存在三個類似的漏洞,它們分別是:
1、Microsoft RPC接口遠程任意代碼可執行漏洞
漏洞描述:
Remote Procedure Call(RPC)是Windowsxx作系統使用的一種遠程過程調用協議,RPC協議提供一種進程間的交互通信機制,它允許本地機器上的程序進程無縫的在遠程系統中運行代碼。該協議的前身是OSF RPC協議,但是增加了微軟自己的一些擴展。
最近發現部分RPC在使用TCP/IP協議處理信息交換時不正確的處理畸形的消息導致存在一個安全漏洞。該漏洞影響使用RPC的DCOM接口,這個接口用來處理由客戶端機器發送給服務器的DCOM對像激活請求(如UNC路徑)。如果攻擊者成功利用了該漏洞將獲得本地系統權限,他將可以在系統上運行任意命令,如安裝程序、查看或更改、刪除數據或者是建立系統管理員權限的帳戶等。
要利用這個漏洞,攻擊者需要發送特殊形式的請求到遠程機器上的135端口.
2、Microsoft DCOM RPC接口拒絕服務及權限提升漏洞
漏洞描述:
Remote Procedure Call(RPC)是Windowsxx作系統使用的一種遠程過程調用協議,RPC協議提供一種進程間的交互通信機制,它允許本地機器上的程序進程無縫的在遠程系統中運行代碼。該協議的前身是OSF RPC協議,但是增加了微軟自己的一些擴展。
最近發現MS RPC在處理畸形消息時存在問題,遠程攻擊者可以利用這個漏洞進行拒絕服務攻擊,在RPC服務崩潰後,可用來權限提升攻擊。攻擊者發送畸形消息給DCOM __RemoteGetClassObject接口,RCP服務就會崩潰,所有依靠RPC服務的應用程序和服務就會變的不正常。
如果攻擊者擁有合法帳戶,在RPC服務崩潰後他還可以劫持管道和135端口進行權限提升攻擊。
3、Windows RPC接口未知漏洞
漏洞描述:
由於該漏洞影響面太大而廠商又未推出相應的補丁程序,因此目前並未公布該漏洞的詳細技術細節,但是發現該漏洞的組織中聯綠盟信息技術(北京)有限公司在報告中有提到如下警告:該漏洞可以使入侵者輕而易舉的進入Windows 2000、Windows XP、Windows2003 Server系統。攻擊者可以通過該漏洞取得系統的控制權,完全控制被入侵的系統,竊取文件,破壞資料。因為該漏洞和以往發現的安全漏洞不同,不僅影響作為服務器的Windows系統,同樣也會影響個人電腦,所以潛在的受害者數量非常多。
漏洞危害:
7月23號網絡上發布了DCOM RPC接口拒絕服務攻擊的程序代碼,7月26日window RPC接口遠程緩沖溢出的攻擊程序代碼被公布,這樣就導致即便是一個對該漏洞技術細節毫不了解的人也能使用這些代碼去攻擊網絡上的其他機器以達到拒絕服務攻擊的目的或是獲得相應的系統權限。目前公布的代碼是對系統版本有針對性的,但是通用於各系統版本中的攻擊代碼正在測試中,相信在稍後的幾天內便會被公布出來,一旦這種攻擊代碼被公布出來,只需要很小的技術上的改造就可以改編成蠕蟲,如果利用這個漏洞蠕蟲被發布出來,它的威力將遠遠超過codered和slammer,可能會給整個互聯網絡帶來致命的打擊。