Показано с 1 по 1 из 1.

FAQ по уязвимостям в Dcom RPC

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3168

    FAQ по уязвимостям в Dcom RPC

    В этом документе кратко описаны способы устранения уязвимостей в RPC DCOM и возможные проблемы, которые могут возникнуть при этом.
    1. Отключаем DCOM
    Отключение DCOM – самый эффективный способ предотвращения эксплуатации RPC/DCOM уязвимости. Отключить DCOM можно двумя способами:
    Через реестр.
    HKEY_LOCAL_MACHINESoftwareMicrosoftOLE – измените значение EnableDCOM к N.
    Затем перезагрузите операционную систему.
    Через утилиту Dcomcnfg.exe.
    Если вы используете Windows XP или Windows Server 2003, выполните следующие действия:
    кликните Component Services под Console Root
    Откройте папку Computers.
    Для локального компьютера, кликните правой кнопкой мыши на My Computer и затем кликните Properties.
    Для удаленного компьютера, кликните правой кнопкой мыши на папку Computers, затем new, и затем кликните Computer.
    Введите имя компьютера.
    Правой клавишей мыши на имени компьютера кликните на Properties.
    Кликните на закладку Default Properties.
    Снимите переключатель (check box) Enable Distributed COM on this Computer.
    Кликните Apply, чтобы отключить DCOM.
    Перезагрузите операционную систему.
    Обратите внимание:
    Отключение DCOM на Windows pre-SP3
    Отключение DCOM на Windows 2000 системах, на которых не установлен Windows 2000 SP3 или более поздний, может не сработать. На таких системах, вы должны сперва установить MS01-041/298012. Отключение DCOM на таких системах будет также работать, если установили Windows 2000 Security Rollup Pack 1 (SRP1/311401), который содержит в себе MS01-041.
    Для отключения DCOM на Windows Server 2003, требуются дополнительные шаги для отключения поддержки DCOM в RPC over HTTP. Об этом можно узнать в следующей статье:
    How to Disable DCOM Support in RPC over HTTP on Windows 2003 Servers
    Предупреждение Microsoft об отключении DCOM
    В статье Microsoft об отключении DCOM, содержится следующее довольно неопределенное предупреждение:
    Предупреждение, если Вы отключаете DCOM, вы можете потерять функциональные возможности операционной системы. После того, как вы отключаете поддержку DCOM, может случится следующее:
    Любой COM объект, который может быть активирован дистанционно, перестанет работать.
    Локальный COM+ snap-in не сможет подключаться к удаленным серверам.
    Функция авторегистрации сертификатов может неправильно функционировать.
    Запросы Windows Management Instrumentation (WMI) удаленных серверов могут неправильно функционировать.
    Потенциально существуют множество встроенных компонентов и сторонних приложений, которые могут перестать работать, если вы отключите DCOM. Microsoft рекомендует проверить работоспособность всех приложений, используемых в вашей среде, после отключения DCOM. Microsoft также предупреждает, что не во всех средах можно отключить DCOM.
    Список приложений, которые требуют DCOM или имеют проблемы при отключенном DCOM:
    Microsoft Access Workflow Designer
    FrontPage с Visual Source Safe на IIS
    BizTalk Server schedule client
    Excel использует DCOM, если он включает RTD инструкцию
    Win95 требует Client for Microsoft Networks или DCOM, чтобы работать с MS SNA Server
    Microsoft Exchange Conferencing Server
    Dell entire Open Manage suite
    Veritas Backup Exec, Network based backup. Программа использует RPC/DCOM для проверки файлов открытых файлов и т.п.
    Citrix NFuse Elite. При отключении DCOM, многие функции Citrix NFuse перестают функционировать.
    Sophos (Antivirus) Enterprise Manager. Без DCOM программа отказывается работать.
    Перестают работать множество функций в SMS 2.0 при отключенном DCOM.
    Windows 95/98 и DCOM
    Dcom может быть установлен на Windows 95/98 системах (DCOM95 1.2), однако заплаты для этих систем не были выпущены, так как Windows 95/98 системы больше не поддерживаются Microsoft.
    Windows ME
    Хотя Dcom и включен в операционную Windows ME, эта система по словам Microsoft не содержит уязвимый код.
    Патч MS03-039 содержит в себе патч MS03-026, который ошибочно могут требовать установить некоторые утилиты проверки установки MS03-026. Если вы используете подобный инструмент, то обратитесь к его производителю, чтобы он внес соответствующие изменения в работу программы.
    Уязвимость может эксплуатироваться через 80, 443 или 593 порт. К сожалению, нет подробной информации о способах эксплуатации обнаруженных уязвимостей через эти порты.
    593 порт используется службой RPC over HTTP End Point Mapper. Эта служба очень похожа на службу RPC End Point Mapper на 135 TCP порту. Эта служба нужна для работы RPC over http (DCOM "Tunneling TCP/IP" протокол). По умолчанию эта служба отключена на всех Windows системах.
    Порты 80/443 используются RPC over HTTP илиDCOM "Tunneling TCP/IP" протоколом. Любая версия Windows, включая Windows 95 и Windows 98, могут туннелировать RPC трафик через 80 TCP порт. Чтобы включить эту возможность на win98, требуется предварительно установить DCOM95 1.2. Служба конфигурируется через утилиту DCOMCNFG.EXE. По умолчанию эта служба отключена на всех Windows системах. Для эксплуатации через эти порты, на сервере должны быть установлен IIS и COM Internet Services Proxy. Существует ничтожно малое количество публично доступных серверов, использующих эту возможность.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

Похожие темы

  1. Отчет по уязвимостям за первый квартал 2008 года
    От SDA в разделе Новости компьютерной безопасности
    Ответов: 1
    Последнее сообщение: 16.04.2008, 21:09
  2. Отчет по уязвимостям за 2007 год
    От ALEX(XX) в разделе Уязвимости
    Ответов: 1
    Последнее сообщение: 29.01.2008, 14:45

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00444 seconds with 16 queries