微软 Windows RPC 认证远程拒绝服务漏洞

受影响系统：

微软操作系统系列，包括 Microsoft Windows XP SP2、Microsoft Windows Vista、Microsoft Windows Server 2003 SP2 和 SP1 以及 Microsoft Windows 2000 SP4。

描述：

这些系统存在一个严重的漏洞，BUGTRAQ ID 为 25974，CVE(CAN) ID 为 CVE-2007-2228。该漏洞存在于 Windows 系统的 RPC（远程过程调用）认证处理过程中。远程攻击者可能利用此漏洞，通过特定的操作导致系统拒绝服务或者使整个操作系统崩溃。该漏洞的具体位置在于 RPC 运行时库 rpcrt4.dll 在 RPC 级认证消息时的行为。当认证类型为 NTLMSSP 且认证级别为 PACKET 的报文时，如果验证尾部签名被初始化为 0 而不是标准的 NTLM 签名，就会出现无效的内存引用。

来源：此信息来自权威的 ZDI（

链接：

secunia 的安全咨询：

marcfo 的 Bugtraq 邮件：

secunia 的另一个安全咨询：

US-CERT 的技术警报：

微软的安全公告和补丁：

建议：

为了防范此漏洞，我们建议您采取以下临时措施：

在防火墙处阻止以下内容：UDP端口135、137、138、445；TCP端口135、139、445、593。阻止端口号大于1024的端口上的所有非法入站通信以及任何其他特殊配置的RPC端口。

使用个人防火墙。

在支持高级TCP/IP过滤功能的系统上启用此功能。

通过在受影响的系统上使用IPSec来阻止受影响的端口。

厂商已经对此发布了安全公告（MS07-058）及相应补丁。微软补丁详情链接如下：

微软补丁详情：MS07-058：RPC中的漏洞可能允许拒绝服务（933729）。您可以点击以下链接获取更多信息并下载补丁：

请务必及时采取防护措施，以保护您的系统和数据安全。