RPC协议是Windows操作系统使用的一种协议,提供了系统中进程之间的交互通信,允许在远程主机上运行任意程序。在Windows操作系统中使用的RPC协议,包括Microsoft其他一些特定的扩展,系统大多数的功能和服务都依赖于它,它是操作系统中极为重要的一个服务。
RPC全称是Remote Procedure Call,在操作系统中,它默认是开启的,为各种网络通信和管理提供了极大的方便,但也是危害极为严重的漏洞攻击点,曾经的冲击波、震荡波等大规模攻击和蠕虫病毒都是Windows系统的RPC服务漏洞造成的。可以说,每一次的RPC服务漏洞的出现且被攻击,都会给网络系统带来一场灾难。
启动RPC服务的具体操作步骤如下。
Step 01在Windows操作界面中选择【开始】→【设置】→【控制面板】→【管理工具】选项,打开【管理工具】窗口。
Step 02在【管理工具】窗口中双击【服务】图标,打开【服务】窗口。
Step 03在服务(本地)列表中双击【Remote Procedure Call(RPC)】选项,打开【Remote Procedure Call(RPC)属性】对话框,在【常规】选项卡中可以查看该协议的启动类型。
Step 04选择【依存关系】选项卡,在显示的界面中可以查看一些服务的依赖关系。
分析:从上图的显示服务可以看出,受其影响的系统组件有很多,其中包括了DCOM接口服务,这个接口用于处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。攻击者若成功利用此漏洞则可以以本地系统权限执行任意指令,还可以在系统上执行任意操作,如安装程序,查看、更改或删除数据,建立系统管理员权限的账户等。
若想对DCOM接口进行相应的配置,其具体操作步骤如下。
Step 01执行【开始】→【运行】命令,在弹出的【运行】对话框中输入Dcomcnfg命令。
Step 02单击【确定】按钮,弹出【组件服务】窗口,单击【组件服务】前面的“+”号,依次展开各项,直到出现【DCOM配置】选项为止,即可查看DCOM中各个配置对象。
Step 03根据需要选择D C O M配置的对象,如:BannerNotificationHandler Class,并单击鼠标右键,从弹出的快捷菜单中选择【属性】菜单命令,打开【BannerNotificationHandler Class属性】对话框,在【身份验证级别】下拉列表中根据需要选择相应的选项。
Step 04选择【位置】选项卡,在打开的界面中对BannerNotificationHandler Class对象进行位置的设置。
Step 05选择【安全】选项卡,在打开的界面中对BannerNotificationHandler Class对象的启动和激活权限、访问权限和配置权限进行设置。
Step 06选择【终结点】选项卡,在打开的界面中对BannerNotificationHandler Class对象进行终结点的设置。
Step 07选择【标识】选项卡,在打开的界面中对BannerNotificationHandler Class对象进行标识的设置,选择运行此应用程序的用户账户。设置完成后,单击【确定】按钮即可。
由于DCOM可以远程操作其他计算机中的DCOM程序,而使用的技术是调用其他计算机所具有的函数的RPC(远程过程调用),因此,利用这个漏洞,攻击者只需要发送特殊形式的请求到远程计算机上的135端口,轻则可以造成拒绝服务攻击,重则使得远程攻击者可以以本地管理员权限执行任何操作。
DcomRpc接口漏洞对Windows操作系统乃至整个网络安全的影响,可以说超过了以往任何一个系统漏洞。其主要原因是DCOM是目前几乎各种版本的Windows系统的基础组件,应用比较广泛。下面就以DcomRpc接口漏洞的溢出为例,为大家详细讲述溢出的方法。
Step 01首先将下载好的DComRpc.xpn插件复制到X-Scan的plugins文件夹中,作为X-Scan插件。
Step 02运行X-Scan扫描工具,选择【设置】→【扫描参数】选项,打开【扫描参数】对话框,再选择【全局设置】→【扫描模块】选项,即可看到添加的【DcomRpc溢出漏洞】模块。
Step 03在使用X-Scan扫描到具有DcomRpc接口漏洞的主机时,可以看到在X-Scan中有明显的提示信息。如果使用RpcDcom.exe专用DcomRpc溢出漏洞扫描工具,则可先打开【命令提示符】窗口,进入RpcDcom.exe所在文件夹,执行rpcdcom -d 192.168.0.13命令后开始扫描并可看到最终的扫描结果。
RPC服务远程漏洞可以说是Windows系统中最为严重的一个系统漏洞,下面介绍几个RPC服务远程漏洞的防御方法,以使自己的计算机或系统处于相对安全的状态。
防御系统出现漏洞最直接、有效的方法是打补丁,对于RPC服务远程溢出漏洞的防御也是如此。不过在对系统打补丁时,务必要注意补丁相应的系统版本。
关闭RPC服务也是防范DcomRpc漏洞攻击的方法之一,而且效果非常彻底。其具体的方法为:选择【开始】→【设置】→【控制面板】→【管理工具】选项,在打开的【管理工具】窗口中双击【服务】图标,打开【服务】窗口。在其中双击【Remote Procedure Call】服务项,打开其属性窗口。在属性窗口中将启动类型设置为【禁用】,这样自下次开机开始RPC将不再启动。
另外,还可以在注册表编辑器中将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs的Start的值由4变成2,重新启动计算机。
不过,进行这种设置后,将会给Windows的运行带来很大的影响。如:Windows 10从登录系统到显示桌面画画,要等待相当长的时间。这是因为Windows的很多服务都依赖于RPC,因此,在将RPC设置为无效后,这些服务将无法正常启动。所以,这种方式的弊端非常大,一般不能采取关闭RPC服务。
针对具体的RPC服务组件,用户还可以采用具体的方法进行防御。例如禁用RPC服务组件中的DCOM服务。可以采用如下方式进行,这里以Windows 10操作系统为例,其具体的操作步骤如下。
Step 01选择【开始】→【运行】选项,打开【运行】对话框,输入Dcomcnfg命令,单击【确定】按钮,打开【组件服务】窗口,选择【控制台根目录】→【组件服务】→【计算机】→【我的电脑】选项,进入【我的电脑】文件夹,若对于本地计算机,则需要右击【我的电脑】选项,从弹出的快捷菜单中选择【属性】选项。
Step 02打开【我的电脑属性】对话框,选择【默认属性】选项卡,进入【默认属性】设置界面,取消勾选【在此计算机上启用分布式COM(E)】复选框,然后单击【确定】按钮即可。
Step 03若对于远程计算机,则需要右击【计算机】选项,从弹出的快捷菜单中选择【新建】→【计算机】选项,打开【添加计算机】对话框。
Step 04在【添加计算机】对话框中,直接输入计算机名或单击右侧的【浏览】按钮来搜索计算机。