下载掌阅APP,畅读海量书库
立即打开
RPC协议是Windows操作系统使用的一种协议,提供了系统中进程之间的交互通信,允许在远程主机上运行任意程序。在Windows操作系统中使用的RPC协议,包括Microsoft其他一些特定的扩展,系统大多数的功能和服务都依赖于它,它是操作系统中极为重要的一个服务。
RPC全称是Remote Procedure Call,在操作系统中,它默认是开启的,为各种网络通信和管理提供了极大的方便,但也是危害极大的漏洞攻击点,曾经的冲击波、震荡波等大规模攻击和蠕虫病毒都是Windows系统的RPC服务漏洞造成的。可以说,每一次的RPC服务漏洞的出现且被攻击,都会给网络系统带来一场灾难。
DComRpc接口漏洞对Windows操作系统乃至整个网络安全的影响,可以说超过了以往任何一个系统漏洞。其主要原因是DCOM是目前几乎各种版本的Windows系统的基础组件,应用比较广泛。下面就以DComRpc接口漏洞的溢出为例,详细讲述溢出的方法。
Step 01 将下载的DComRpc.xpn插件复制到X-Scan的plugins文件夹中,作为X-Scan插件,如下图所示。
Step 02 运行X-Scan扫描工具,选择“设置”→“扫描参数”选项,打开“扫描参数”对话框,再选择“全局设置”→“扫描模块”选项,即可看到添加的“DComRpc溢出漏洞”模块,如下图所示。
Step 03 在使用X-Scan扫描到具有DComRpc接口漏洞的主机时,可以看到在X-Scan中有明显的提示信息,并给出相应的HTML格式的扫描报告。
Step 04 如果使用RpcDcom.exe专用DComRPC溢出漏洞扫描工具,则可先打开“命令提示符”窗口,进入RpcDcom.exe所在文件夹,执行“rpcdcom -d IP地址”命令,开始扫描并会给出最终的扫描结果,如下图所示。
RPC服务远程漏洞可以说是Windows系统中最为严重的一个系统漏洞,下面介绍几个RPC服务远程漏洞的防御方法,以使自己的计算机或系统处于相对安全的状态。
防御系统出现漏洞最直接、有效的弥补方法是打补丁,对于RPC服务远程溢出漏洞的防御也是如此。不过在对系统打补丁时,务必要注意补丁相应的系统版本。
关闭RPC服务也是防范DComRpc漏洞攻击的方法之一,而且效果非常彻底。其具体的方法为:选择“开始”→“设置”→“控制面板”→“管理工具”选项,在打开的“管理工具”窗口中双击“服务”图标,打开“服务”窗口。在其中双击Remote Procedure Call服务项,打开其属性窗口。在属性窗口中将启动类型设置为“禁用”,这样自下次开机时RPC将不再启动,如下图所示。
另外,还可以在注册表编辑器中将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs的Start的值由4变成2,重新启动计算机,如下图所示。
不过,进行这种设置后,将会给Windows的运行带来很大的影响。例如,Windows 10从登录系统到显示桌面画面,要等待相当长的时间。这是因为Windows的很多服务都依赖于RPC,因此,在将RPC设置为无效后,这些服务将无法正常启动。所以,这种方式的弊端非常大,一般不能采取关闭RPC服务。
针对具体的RPC服务组件,用户还可以采用具体的方法进行防御。例如,禁用RPC服务组件中的DCOM服务,可以采用如下方式进行,这里以Windows 10操作系统为例,其具体的操作步骤如下。
Step 01 选择“开始”→“运行”选项,打开“运行”对话框,在“打开”文本框中输入dcomcnfg命令,单击“确定”按钮,打开“组件服务”窗口,选择“控制台根节点”→“组件服务”→“计算机”→“我的电脑”选项,进入“我的电脑”文件夹,若对于本地计算机,则需要右击“我的电脑”选项,从弹出的快捷菜单中选择“属性”选项,如下图所示。
Step 02 打开“我的电脑 属性”对话框,选择“默认属性”选项卡,进入“默认属性”设置界面,取消选中的“在此计算机上启用分布式COM(E)”复选框,单击“确定”按钮即可,如下图所示。
Step 03 对于远程计算机,则需要右击“计算机”选项,在弹出的快捷菜单中选择“新建”→“计算机”菜单命令,如下图所示。
Step 04 打开“添加计算机”对话框,直接输入计算机名或单击右侧的“浏览”按钮来搜索计算机,如下图所示。
