|
ชื่อ : Microsoft RPC Race
Condition Denial of Service
ค้นพบเมื่อ : 16 ตุลาคม 2546
ชนิด : ช่องโหว่ของโปรแกรม
ระบบที่ได้รับผลกระทบ
- ระบบปฏิบัติการวินโดวส์ NT
- ระบบปฏิบัติการวินโดวส์ 2000
- ระบบปฏิบัติการวินโดวส์ XP
- ระบบปฏิบัติการวินโดวส์ 2003
คำอธิบายเพิ่มเติม
มีการค้นพบช่องโหว่อื่นๆ ของบริการ Microsoft RPC (DCOM) จากระบบปฏิบัติการวินโดวส์
2000 และ XP ที่ไม่ได้ติดตั้ง patch หมายเลข MS03-026
หรือ MS03-039
จากการติดตามข่าวพบว่ามีการแจกจ่าย โปรแกรมประเภท exploit ที่โจมตีแบบ
DoS (Denial of Service) ซึ่งผลการทดสอบกับระบบปฏิบัติการวินโดวส์
2000 และ XP ที่ติดตั้ง patch หมายเลข MS03-026
หรือ MS03-039
โดยผลการทดสอบพบว่าระบบดังกล่าวได้รับผลกระทบจากโปรแกรมประเภท exploit
นี้ด้วยเช่นกัน นอกจากนี้โปรแกรม ประเภท exploit ดังกล่าวยังมีผลกระทบต่อระบบปฏิบัติการวินโดวส์
2000 และ XP ที่มิได้ติดตั้ง patch หมายเลข MS03-026
หรือ MS03-039
ด้วยเช่นกัน
ผลกระทบที่ได้รับ
การโจมตีแบบ DoS ระบบจะหยุดทำงานไปชั่วคราว จนทำให้ระบบไม่สามารถให้บริการแก่เครื่องลูกข่ายได้
นอกจากนี้ทีมงานคาดว่าช่องโหว่ดังกล่าวนี้อาจจะเป็นช่องทางหนึ่งสำหรับผู้ไม่ประสงค์ดีนำไปใช้ในการสร้างหนอนอินเทอร์เน็ต
หรือไวรัสด้วยเช่นกัน
วิธีการป้องกัน
- ติดตั้ง และใช้งานโปรแกรม Network หรือ Host-based/personal
Firewall เพื่อป้องกัน Traffic ของระบบ RPC โดยป้องกันพอร์ตต่อไปนี้
135/tcp, 139/tcp, 445/tcp, 593/tcp 135/udp,137/udp, 138/udp และ
445/udp
- ยกเลิกการให้บริการ COM Internet Services (CIS)
และ RPC over HTTP ตามคำแนะนำนี้
วิธีการยกเลิกการใช้งาน
DCOM RPC
- ติดตามข่าวสาร Patch ใหม่ล่าสุดจากทีมงาน ThaiCERT
หรือผู้ผลิตจากเว็บไซต์ http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/current.asp
เอกสารอ้างอิง
AL-2003.20 -- AUSCERT ALERT
http://www.auscert.org.au/render.html?it=3532
Internet Security Systems Security Advisory: Microsoft RPC Race
Condition Denial of Service
http://xforce.iss.net/xforce/alerts/id/155
Security Focus: BUGTRAQ ARCHIVE
http://www.securityfocus.com/archive/1
เผยแพร่โดย ThaiCERT เมื่อ 16 ตุลาคม
2546
ปรับปรุงล่าสุดโดย ThaiCERT เมื่อ 16 ตุลาคม 2546
|
