國家資通安全會報 技術服務中心
漏洞/資安訊息通告
| 發布編號 | ICST-ANA-2007-0005 | 發布日期 | 2007/04/16 |
| 事件類型 | 攻擊活動預警 | 發現時間 | 2007/04/16 |
| 通告名稱 | 零時差攻擊(Zero-Day Attacks)警訊:Windows DNS Server RPC 漏洞攻擊 | ||
| 內容說明 | 技術服務中心發現駭客組織開始利用Windows DNS Server RPC 漏洞對Windows DNS Server進行攻擊,藉由此攻擊,攻擊者可以遠端執行任意程式碼。
目前此弱點尚無更新修補程式,技服中心已發現數起攻擊案例,請各單位根據以下建議措施依實際情形嚴加防範,並注意漏洞更新程式的釋出時間及早進行更新。
| ||
| 影響平台 | Microsoft Windows 2000 Server SP4
Microsoft Windows Server 2003 SP1、SP2
| ||
| 影響等級 | 高 | ||
| 建議措施 | 1. Windows DNS Server的管理者應限制DNS Server的服務範圍,應只對服務對象所在網域進行開放。建議依 DNS Server 實際運作情形考量阻擋目的通訊埠為445及1024 以上的TCP、UDP對內連線。
2. Windows DNS Server 的管理者可依以下步驟,關閉 Windows DNS Server RPC 功能以避免遭到已知手法攻擊。下述方式會使利用 RPC 管理 DNS 及遠端使用DNS管理工具的功能失效,但管理者仍可在本地端或利用遠端桌面使用DNS管理工具。要移除此設定,請依下述步驟一二,刪除「RpcProtocol」機碼即可。
2.1 在開始功能表,選取「執行」、鍵入「Regedit」後按下「確定」。
2.2 切換至以下機碼位置:
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters”
2.3 在「編輯」選單選取「新增」、「DWORD 值」。
2.4 在「新數值 #1」處鍵入「RpcProtocol」並按下Enter鍵。
2.5 雙擊新建立的RpcProtocol,並在「數值資料」欄位填入「4」(不包含單引號)。
2.6 重新啟動 DNS Server使設定生效。
| ||
| 參考資料 | 微軟警訊:http://www.microsoft.com/taiwan/technet/security/advisory/935964.mspx
| ||
|
國家資通安全會報 技術服務中心 (http://www.icst.org.tw/)
地 址: 台北市富陽街116號
聯絡電話: 02-27339922
傳真電話: 02-27331655
電子郵件信箱: service@icst.org.tw
| |||