关于MS08-067最常见的问题

自发布以来，我们收到了许多关于MS08-067（http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx）的优质问题，因此我们决定整理答案。我们仍然鼓励所有人应用该更新。

漏洞是否可以通过RPC over HTTP访问？

不，漏洞无法通过RPC over HTTP访问。RPC over HTTP是一种端到端协议，具有三个角色：客户端、代理和服务器。需要明确的是，这与标准RPC不同，两种协议不互操作。此外，触发漏洞代码的唯一途径是通过命名管道，因此接口安全回调在通过TCP/IP连接时会断开连接。

使用Outlook连接到Exchange服务器访问电子邮件是使用RPC over HTTP的常见场景；由于使用了RPC over HTTP代理，Exchange服务器不会暴露给外部攻击。

关于RPC over HTTP的更多信息： http://msdn.microsoft.com/en-us/library/aa375384.aspx

关于使用Exchange与RPC over HTTP的更多信息： http://technet.microsoft.com/en-us/library/aa996072(EXCHG.65).aspx

ISA针对此漏洞提供哪些类型的保护？

ISA和TMG RPC过滤器仅识别从RPC端点映射器（TCP:135）开始的RPC流量。由于MS08-067攻击在CIFS（TCP:445）或NetBIOS（TCP:139）连接内进行，因此ISA或TMG RPC过滤器无法看到它们。

默认情况下，ISA Server和TMG不允许来自外部网络的RPC、NetBIOS或SMB流量。

默认情况下，ISA 2000允许所有未过滤的流量从LAT（内部网络）到本地主机。应立即将更新应用于任何ISA 2000部署。

默认情况下，ISA 2004、2006和TMG不允许SMB、NetBIOS会话或RPC到本地机器，除非来自远程管理主机、数组成员和内容存储服务器（CSS）。由于受损的CSS和远程管理主机可能对ISA或TMG服务器构成威胁，因此应立即应用更新。

如果您更改了ISA或TMG策略以允许SMB或NetBIOS流量到本地主机（例如分支机构场景），则应立即将更新应用于ISA或TMG服务器。

如果使用“限制匿名命名管道”组策略设置，匿名用户是否可以访问漏洞代码？

根据平台版本的不同，有两种不同的行为。

不幸的是，Windows XP SP2和Windows Server 2003的组策略设置“网络访问：可以匿名访问的命名管道”（更多信息请参见http://technet.microsoft.com/en-us/library/cc785123.aspx）不会阻止对浏览器命名管道的匿名连接。由于默认情况下，无论设置如何，对此命名管道的连接都是允许的，因此漏洞代码仍然可以被访问。简而言之，即使从列表中删除了“browser”，命名管道仍然可以匿名访问。

在Windows Vista和Windows Server 2008中，此行为已更改，当删除浏览器命名管道并重新启动系统时，设置生效。

通过终端服务器或远程桌面连接共享文件和/或打印机是否会暴露漏洞？

不，终端服务器和远程桌面连接使用嵌入在RDP协议内的虚拟通道进行重定向。此外，终端服务器不会打开端口139或445。

我们感谢以下工程师帮助提供这些技术问题的明确答案：

• SVRD团队的Bruce Dang、Fermin J. Serna、Damian Hasse、Andrew Roths和Jonathan Ness
• Windows网络团队的Tassaduq Basu、Kamen Moutafov
• Windows安全架构团队的Scott Field
• ISA团队的Jim Harrison
• RDP团队的Costin Hagiu
• 核心文件系统团队的David Kruse

发布内容“按原样”提供，不提供任何保证，也不授予任何权利。