FAQ по уязвимостям в Dcom RPC

[SDA]

В этом документе кратко описаны способы устранения уязвимостей в RPC DCOM и возможные проблемы, которые могут возникнуть при этом.
1. Отключаем DCOM
Отключение DCOM – самый эффективный способ предотвращения эксплуатации RPC/DCOM уязвимости. Отключить DCOM можно двумя способами:
Через реестр.
HKEY_LOCAL_MACHINESoftwareMicrosoftOLE – измените значение EnableDCOM к N.
Затем перезагрузите операционную систему.
Через утилиту Dcomcnfg.exe.
Если вы используете Windows XP или Windows Server 2003, выполните следующие действия:
кликните Component Services под Console Root
Откройте папку Computers.
Для локального компьютера, кликните правой кнопкой мыши на My Computer и затем кликните Properties.
Для удаленного компьютера, кликните правой кнопкой мыши на папку Computers, затем new, и затем кликните Computer.
Введите имя компьютера.
Правой клавишей мыши на имени компьютера кликните на Properties.
Кликните на закладку Default Properties.
Снимите переключатель (check box) Enable Distributed COM on this Computer.
Кликните Apply, чтобы отключить DCOM.
Перезагрузите операционную систему.
Обратите внимание:
Отключение DCOM на Windows pre-SP3
Отключение DCOM на Windows 2000 системах, на которых не установлен Windows 2000 SP3 или более поздний, может не сработать. На таких системах, вы должны сперва установить MS01-041/298012. Отключение DCOM на таких системах будет также работать, если установили Windows 2000 Security Rollup Pack 1 (SRP1/311401), который содержит в себе MS01-041.
Для отключения DCOM на Windows Server 2003, требуются дополнительные шаги для отключения поддержки DCOM в RPC over HTTP. Об этом можно узнать в следующей статье:
How to Disable DCOM Support in RPC over HTTP on Windows 2003 Servers
Предупреждение Microsoft об отключении DCOM
В статье Microsoft об отключении DCOM, содержится следующее довольно неопределенное предупреждение:
Предупреждение, если Вы отключаете DCOM, вы можете потерять функциональные возможности операционной системы. После того, как вы отключаете поддержку DCOM, может случится следующее:
Любой COM объект, который может быть активирован дистанционно, перестанет работать.
Локальный COM+ snap-in не сможет подключаться к удаленным серверам.
Функция авторегистрации сертификатов может неправильно функционировать.
Запросы Windows Management Instrumentation (WMI) удаленных серверов могут неправильно функционировать.
Потенциально существуют множество встроенных компонентов и сторонних приложений, которые могут перестать работать, если вы отключите DCOM. Microsoft рекомендует проверить работоспособность всех приложений, используемых в вашей среде, после отключения DCOM. Microsoft также предупреждает, что не во всех средах можно отключить DCOM.
Список приложений, которые требуют DCOM или имеют проблемы при отключенном DCOM:
Microsoft Access Workflow Designer
FrontPage с Visual Source Safe на IIS
BizTalk Server schedule client
Excel использует DCOM, если он включает RTD инструкцию
Win95 требует Client for Microsoft Networks или DCOM, чтобы работать с MS SNA Server
Microsoft Exchange Conferencing Server
Dell entire Open Manage suite
Veritas Backup Exec, Network based backup. Программа использует RPC/DCOM для проверки файлов открытых файлов и т.п.
Citrix NFuse Elite. При отключении DCOM, многие функции Citrix NFuse перестают функционировать.
Sophos (Antivirus) Enterprise Manager. Без DCOM программа отказывается работать.
Перестают работать множество функций в SMS 2.0 при отключенном DCOM.
Windows 95/98 и DCOM
Dcom может быть установлен на Windows 95/98 системах (DCOM95 1.2), однако заплаты для этих систем не были выпущены, так как Windows 95/98 системы больше не поддерживаются Microsoft.
Windows ME
Хотя Dcom и включен в операционную Windows ME, эта система по словам Microsoft не содержит уязвимый код.
Патч MS03-039 содержит в себе патч MS03-026, который ошибочно могут требовать установить некоторые утилиты проверки установки MS03-026. Если вы используете подобный инструмент, то обратитесь к его производителю, чтобы он внес соответствующие изменения в работу программы.
Уязвимость может эксплуатироваться через 80, 443 или 593 порт. К сожалению, нет подробной информации о способах эксплуатации обнаруженных уязвимостей через эти порты.
593 порт используется службой RPC over HTTP End Point Mapper. Эта служба очень похожа на службу RPC End Point Mapper на 135 TCP порту. Эта служба нужна для работы RPC over http (DCOM "Tunneling TCP/IP" протокол). По умолчанию эта служба отключена на всех Windows системах.
Порты 80/443 используются RPC over HTTP илиDCOM "Tunneling TCP/IP" протоколом. Любая версия Windows, включая Windows 95 и Windows 98, могут туннелировать RPC трафик через 80 TCP порт. Чтобы включить эту возможность на win98, требуется предварительно установить DCOM95 1.2. Служба конфигурируется через утилиту DCOMCNFG.EXE. По умолчанию эта служба отключена на всех Windows системах. Для эксплуатации через эти порты, на сервере должны быть установлен IIS и COM Internet Services Proxy. Существует ничтожно малое количество публично доступных серверов, использующих эту возможность.