美國當(dāng)?shù)貢r間7月31日,互聯(lián)網(wǎng)安全組織美國CERT/CC發(fā)布警告稱,一種惡意使用Windows嚴(yán)重安全漏洞的蠕蟲(自動攻擊工具)已經(jīng)出現(xiàn)在互聯(lián)網(wǎng)上。該蠕蟲通過TCP 135端口入侵對象機(jī)器后建立“后門”。建立后門以后,該機(jī)器就可能被攻擊者完全控制。同時,還警告說發(fā)現(xiàn)了一種專門針對即使安裝微軟補(bǔ)丁程序也無法消除的安全漏洞的代碼。
可突破7月17日公開的“超級”安全漏洞——“RPC接口緩存溢出有可能導(dǎo)致執(zhí)行任意代碼(823980)(MS03-026)”的代碼(Exploit)自7月26日以來已經(jīng)公布于多個郵件列表和Web站點(diǎn)上。目前,一種對此進(jìn)行“改進(jìn)”后能自動攻擊安全漏洞的工具、即蠕蟲據(jù)稱也已問世。
CERT/CC已經(jīng)確認(rèn)蠕蟲由TCP 135端口入侵攻擊對象機(jī)器,并建立后門。所謂后門就是指為了由外部入侵機(jī)器而在機(jī)器上建立的“方便之門”。即便殺除了入侵的蠕蟲,只要后門還在,就會允許任意的非法訪問。
后門的幾個“版本”會在TCP 4444端口等待外部(攻擊者)的連接。連接到后門后,攻擊者就能夠在本地系統(tǒng)(Local System)的高級權(quán)限下隨意操作機(jī)器。有的后門版本甚至允許攻擊者指定端口編號。
另外,CERT/CC還對“RPC接口緩存溢出有可能導(dǎo)致執(zhí)行任意代碼(823980)(MS03-026)”的補(bǔ)丁程序進(jìn)行修正的RPC相關(guān)安全漏洞發(fā)出了警告,該補(bǔ)丁程序無法修正該漏洞。不過,但“MS03-026”的補(bǔ)丁程序無法修正的安全漏洞僅限于Windows 2000。
“MS03-026”的對象不包括Windows 98/Me,而且即便該漏洞被利用,機(jī)器也只會受到DoS(拒絕服務(wù))攻擊,機(jī)器不會被攻擊者控制。雖說如此,由于此安全漏洞的代碼也已公開,因此決不可大意。
因該針對“MS03-026”安裝相關(guān)的補(bǔ)丁程序。如果不能進(jìn)行修正的話,則可以使用防火墻關(guān)閉不必要的端口,以防止外部攻擊。
而無論是哪種安全漏洞,由于可惡意使用的代碼(蠕蟲)均攻擊135端口,因此必須把該端口關(guān)閉。另外,由于有時還會使用139和445端口,因此CERT/CC建議最好也予以關(guān)閉。也就是說建議用戶關(guān)閉“TCP/UDP 135端口”、“TCP/UDP 139端口”和“TCP/UDP 445端口”。
