微软公司发布关于rpc 接口中 远程任意可执行代码漏洞（823980）通告 　 国家计算机病毒应急处理中心根据微软公司发布的通告，即关于rpc 接口中远程任意可执行代码漏洞（823980），向计算机用户发出预警。如果成功利用此漏洞，攻击者就有可能获得对远程计算机的完全控制，并以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作，如安装程序、查看或更改、删除数据、重新格式化硬盘或建立系统管理员权限的帐户。 microsoft rpc接口远程任意代码可执行漏洞受影响的软件： microsoft windows nt 4.0 microsoft windows nt 4.0 terminal services edition microsoft windows 2000 microsoft windows xp microsoft windows server 2003 漏洞描述 rpc（remote procedure call）是 windows 操作系统使用的一个远程过程调用协议。rpc 提供了一种进程间的通信机制，通过这一机制，允许在某台计算机上运行的程序顺畅地在远程系统上执行代码。协议本身源自osf（开放式软件基础）rpc 协议，但增加了一些 microsoft 特定的扩展 。 rpc 中处理通过 tcp/ip 的消息交换的部分有一个漏洞。此问题是由错误地处理格式不正确的消息造成的。这种特定的漏洞影响dcom （分布式组件对象模型） 与 rpc 间的一个接口，该接口侦听tcp/ip 端口135，用于处理由客户端机器发送给服务器的dcom对象激活请求（如unc路径）。 该漏洞实际上是一个缓冲区溢出漏洞，成功利用此漏洞的攻击者有可能获得对远程计算机的完全控制，可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作，如安装程序、查看或更改、删除数据、重新格式化硬盘或建立系统管理员权限的帐户。 在利用该漏洞时，攻击者需要发送特殊形式的请求到远程机器上的135端口。从而造成目标计算机受制于人，攻击者可以在它上面执行任意代码。 不同于以往发现的安全漏洞，该漏洞不仅影响作为服务器的windows系统，同样也会影响个人电脑，所以潜在的受害者数量非常多。 dcom （分布式对象模型） 分布式对象模型（dcom））是一种能够使软件组件通过网络直接进行通信的协议。dcom 以前叫做“网络 ole”，它能够跨越包括 internet 协议（例如 http）在内的多种网络传输。可以从以下网站查阅有关 dcom 的详细信息：http://www.microsoft.com/com/tech/dcom.asp rpc（远程过程调用） 远程过程调用（rpc）是一种协议，程序可使用这种协议向网络中的另一台计算机上的程序请求服务。由于使用 rpc 的程序不必了解支持通信的网络协议的情况，因此 rpc 提高了程序的互操作性。在 rpc 中，发出请求的程序是客户程序，而提供服务的程序是服务器。 防范措施： 下载安装相应的补丁程序： microsoft已经为此发布了一个安全公告（ms03-026）以及相应补丁，请尽快下载安装。 http://www.microsoft.com/technet/security/bulletin/ ms03-026.asp 您也可以到我们的网站上下载相关的安全补丁： winnt win2000 winxp win2003 在防火墙上封堵 不必要的端口 135端口用于启动与远程计算机的 rpc 连接。连接到internet的计算机应当在防火墙上封堵 135 端口，用以帮助防火墙内的系统防范通过利用此漏洞进行的攻击。 使用防火墙关闭所有不必要的端口，漏洞不仅仅影响135端口，还影响到大部分调用dcom函数的服务端口，建议用户使用网络或是个人防火墙过滤以下端口： 135/tcp epmap 135/udp epmap 139/tcp netbios-ssn 139/udp netbios-ssn 445/tcp microsoft-ds 445/udp microsoft-ds 593/tcp http-rpc-epmap 593/udp http-rpc-epmap 有关为客户端和服务器保护 rpc 的详细信息，请访问： http://msdn.microsoft.com/library/default.asp?url= /library/en-us/rpc/rpc/ writing_a_secure_rpc_client_or_server.asp 有关 rpc 使用的端口的详细信息，请访问： http://www.microsoft.com/technet/prodtechnol/ windows2000serv/reskit/tcpip/part4/tcpappc.asp 手动为计算机启用（或禁用） dcom： 运行 dcomcnfg.exe。 如果您在运行 windows xp 或 windows server 2003，则还要执行下面这些步骤： 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。 对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。 对于远程计算机，请以右键单击“计算机”文件夹，然后选择“新建”，再选择“计算机”。 输入计算机名称。以右键单击该计算机名称，然后选择“属性”。 选择“默认属性”选项卡。 选择（或清除）“在这台计算机上启用分布式 com”复选框。 如果您要为该计算机设置更多属性，请单击“应用”按钮以启用（或禁用） dcom。否则，请单击“确定”以应用更改并退出 dcomcnfg.exe。