微软最牛RPC漏洞MS08-067全解决方案

近期微软爆出四年以来最严重的安全漏洞，安全专家张晓兵撰文，为大家解读此次微软MS08-067漏洞，并针对于此给出了全面的解决方安全案。

第一部分：MS08-067漏洞与趋势分析

2008年10月23日，微软爆出特大安全漏洞，几乎影响所有Windows系统，强烈建议广大用户及时下载安装该漏洞补丁。

成功利用该漏洞的远程攻击者，可能会利用此问题危及基于Microsoft Windows系统的安全，并获取对该系统的控制权。

这是微软近一年半以来首次打破每月定期发布安全公告惯例而紧急发布的更新通告。

该安全漏洞可能允许远程执行代码，如果受影响的系统收到了特制伪造的RPC请求。在Microsoft Windows 2000、Windows XP和Windows Server 2003系统，攻击者可以利用此漏洞无需通过认证运行任意代码。这个漏洞还可能被蠕虫利用，此安全漏洞可以通过恶意构造的网络包直接发起攻击，并且攻击者可以获取完整权限，因此该漏洞很可能会被用于制作蠕虫以进行大规模的攻击。

受影响的操作系统如下：

Windows XP Professional x64 Edition
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2
Windows XP Service Pack 3
Windows XP Professional x64 Edition
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 SP1（用于基于 Itanium 的系统）
Windows Server 2003 SP2（用于基于 Itanium 的系统）
Windows Vista 和 Windows Vista Service Pack 1
Windows Vista x64 Edition 和 Windows Vista x64 Edition Service Pack 1
Windows Server 2008（用于 32 位系统）
Windows Server 2008（用于基于 x64 的系统）
Windows Server 2008（用于基于 Itanium 的系统）
Windows 7 Beta（用于 32 位系统）
Windows 7 Beta x64 Edition
Windows 7 Beta（用于基于 Itanium 的系统）

得到此消息后，安天网络安全研究与应急处理中心（Antiy CERT）进行了紧急的研究，并制定了相应的解决方案。根据应急处理有关条例中“遭遇到能远程主动发起针对主流桌面操作系统的默认开放端口的扫描，并能对有漏洞直接获得系统权限”和“漏洞可以被利用用以作为蠕虫的主动传播机制”两个标准，安天将本次应急响应级别直接定级为最高级别A级。这是安天最近1年来的首次A级预警，并已向有关部门和自身用户进行了通报。

此外，在微软发布补丁之前相关攻击已经被少量捕获，溢出代码在补丁发放日已经公开，而且在当天已经有应急组织捕获到有关样本。

从目前的情况看，已经在较长的时间里没有类似机制漏洞出现。目前各应急组织、运营商、用户准备不足，因此应该警惕根据该漏洞制造的病毒在近期大规模爆发。

对于该漏洞在未来一段时间内的发展趋势，安天认为该漏洞可能造成病毒感染数量的显著上升、可能导致盗号窃密事件的显著上升、可能短时间内造成傀儡主机数量的增长并产生新的僵尸网络、可能关联造成网络探测、扫描、DDoS攻击事件的增加及垃圾邮件的传播。

由于服务器系统相关防护比较严格，受到的影响相对较小，其直接攻击可能会带动挂马事件的小幅上升，但不会有重大影响。其对挂马的关联影响可能主要表现在攻击者可能在短时间内获取更多的探测节点，从而找到更多的可注入WEB节点。

在地域形式上，国内用户受影响程度要远高于欧美地区，这是因为国内用户使用的操作系统版本受该漏洞影响比率要远高于欧美户。而且受到近期Windows黑屏事件影响，部分用户可能会关闭补丁升级机制。另外，中国大量使用的一些盗版定制系统，破坏了windows系统的一些内建安全机制。这些情况都会导致国内的潜在疫情要远高于国外。

第二部分：MS08-067漏洞的终端用户解决方案

这是一个针对139、445端口的RPC服务进行攻击的漏洞，可以直接获取系统控制权。根据微软的消息，该攻击无法穿透DEP机制的保护，对正版用户，该漏洞对XP SP2以上版本（含SP2）和Server 2003 SP1（含SP1）系统无效，因此主要受到威胁的用户应该是Windows 2000和Windows XP SP2以前版本用户。但由于一些盗版传播中，被人为降低了安全级别或者修改过安全机制，因此除了上述版本的用户也有可能受到攻击。

据安天介绍，一些常规的解决思路是，当有重大远程漏洞发生时，对于不需要实时连接的系统，可以考虑先断网检测安全配置，然后采用调整防火墙和安全策略的方式保证联网打补丁时段的安全，然后再进行补丁升级。

一、桌面与工作站用户的安全配置方案

桌面系统主要以浏览、下载、游戏、工作等与用户直接操作交互为主要应用方式，其多数网络操作为用户主动对外发起连接，而不是凭借本地监听端口为外部用户提供服务。桌面系统如果不提供共享打印，不需要在局域网游戏（如CS、FIFA等）中作为主机使用，可以通过设置为禁止发布发起连接模式，来阻断所有向本主机发起的连接。进行有关设置不会影响到操作者的浏览、聊天、下载、在线视频、常见网游等操作。

进行这样的设置不仅可以阻断MS08-067攻击，而且可以阻断所有相同针对主机固定端口的攻击，缺点是如果主机提供打印共享、网络共享目录等服务则会失效，在CS、FIFA等游戏中无法作为host主机使用，还可能与蓝波宽带拨号程序冲突。

1、Windows自带防火墙的相关配置

步骤1：在控制面板中找到防火墙。

步骤2：选择更改设置，此时Vista系统的安全机制可能需要灰屏确认，请选择是。

步骤3：启动防火墙并选择阻止所有传入连接。

2、其它防火墙的安全设置

如果Windows系统的防火墙不支持本项设置，可通过其他防火墙实现，以安天盾防火墙免费工具为例。

步骤1：通过单击Windows开始菜单中安天安全中心项目，或者单击托盘中的安天安全中心图标，启动有关配置。

步骤2：在安天安全中心界面上点击设置。

步骤3：将策略选择为系统初装。

二、不需要开放RPC服务的服务器安全配置方案

网络服务器用户以固定端口对外进行服务，因此不能采用阻断所有传入连接的方式进行配置，否则会失效。而从WindowNT Server到Server 2008，不需要开放RPC服务器的用户可以不依赖任何安全工具，仅凭借Windows Server自身安全机制既可实现屏蔽，如果仅是直接关闭RPC服务，会给本机管理带来一些麻烦。

步骤1：点击右键，选择网络连接属性。

步骤2：点击Internet 协议（TCP/IP）属性。

步骤3：在弹出的Internet协议（TCP/IP）属性对话框中点击“高级”。

步骤4：对TCP/IP筛选中点击属性。

步骤5：在TCP/IP筛选中配置允许访问的端口，只要不包含TCP139和445则MS08-067 RPC攻击失效。

三、需要开放RPC服务的服务器安全配置方案

需要开放RPC服务的服务器，如网络打印、网络共享和一些RPC通讯调用的节点，不能够通过上述关闭端口的方式，否则会造成无效。可以转而采用打补丁、打开DEP策略，或安装主机IPS的方法。下面介绍一下系统DEP保护配置的方法。

步骤1：我的电脑右键点击属性，点击“高级”页中的“设置”按钮。

步骤2：设定数据执行保护策略，修改后重新启动电脑。

在这里，进行不同的选择会有不同的效果，如果选择“仅为基本Windows程序和服务启用DEP”功能，则可以挡住本次RPC攻击，也可以挡住目前主流的针对Windows开放端口的攻击。在获得一定的安全性的情况下，保证系统的兼容性。但是缺点是不能保护类似IE浏览器、Outlook等比较脆弱的互联网应用程序，不能防范类似挂马注入的攻击。

如果选择“为除下列选定程序之外的所有程序和服务启用DEP”功能，则在上述效果的基础上，对Web挂马、各种应用软件插件注入都有很好的效果，具有更强的系统安全性，不过缺点是与部分应用程序冲突，但可以通过将冲突的程序设置为例外来解决。

四、安装相应补丁，解决安全隐患

根据自己系统情况寻找地址安装单一补丁，是一个有效修补漏洞并规避微软黑屏策略影响的方法。

微软的补丁都可以离线安装，可以选择将有漏洞的系统断网，从安全的系统上下载补丁再用移动存储复制到有漏洞的系统下。

本次MS08-067严重漏洞各系统补丁地址如下：

中文操作系统KB958644补丁下载地址：

Windows Vista 安全更新程序 (KB958644)

http://download.microsoft.com/download/d/c/0/dc047ab9-53f8-481c-8c46-528b7f493fc1/Windows6.0-KB958644-x86.msu

Windows Server 2008 x64 Edition 安全更新程序 (KB958644)

http://download.microsoft.com/download/0/f/4/0f425c69-4a1f-4654-b4f8-476a5b1bae1d/Windows6.0-KB958644-x64.msu

Windows Server 2003 x64 Edition 安全更新程序 (KB958644)

http://download.microsoft.com/download/9/8/e/98eff1c8-f2e2-43a4-abf7-7fb0315a09f7/WindowsServer2003.WindowsXP-KB958644-x64-CHS.exe

Windows Server 2003 安全更新程序 (KB958644)

http://download.microsoft.com/download/8/4/4/84403755-aa0a-41ba-bded-7cbbc8dc218c/WindowsServer2003-KB958644-x86-CHS.exe

Windows Server 2008 安全更新程序 (KB958644)

http://download.microsoft.com/download/4/9/8/498e39f6-9f49-4ca5-99dd-761456da0012/Windows6.0-KB958644-x86.msu

Windows 2000 安全更新程序 (KB958644)

http://download.microsoft.com/download/4/9/7/49751d3a-e93b-48fb-95de-2a229e602004/Windows2000-KB958644-x86-CHS.EXE

用于基于 x64 的系统的 Windows Vista 安全更新程序(KB958644)

http://download.microsoft.com/download/1/5/0/15089485-0e8b-41f9-8617-58e8cdda8c7e/Windows6.0-KB958644-x64.msu

Windows XP 安全更新程序 (KB958644)

http://download.microsoft.com/download/a/5/f/a5fcaabe-ff81-4d4f-972e-865bdc60dcbf/WindowsXP-KB958644-x86-CHS.exe

英文操作系统KB958644补丁下载地址：

Security Update for Windows 2000 (KB958644)

http://download.microsoft.com/download/4/a/3/4a36c1ea-7555-4a88-98ac-b0909cc83c18/Windows2000-KB958644-x86-ENU.EXE

Security Update for Windows Server 2003 x64 Edition (KB958644)

http://download.microsoft.com/download/f/7/6/f761e8ee-caad-4528-aa47-ed5d744be523/WindowsServer2003.WindowsXP-KB958644-x64-ENU.exe

Security Update for Windows 7 Pre-Beta for Itanium-based Systems (KB958644)

http://download.microsoft.com/download/f/6/3/f639c726-86bb-4f3a-a783-5e03fc665af4/Windows6.1-KB958644-ia64.msu

Security Update for Windows XP x64 Edition (KB958644)

http://download.microsoft.com/download/5/8/1/5811b6cc-5884-4486-b05d-de69f0e94f67/WindowsServer2003.WindowsXP-KB958644-x64-ENU.exe

Security Update for Windows Vista (KB958644)

http://download.microsoft.com/download/d/c/0/dc047ab9-53f8-481c-8c46-528b7f493fc1/Windows6.0-KB958644-x86.msu

Security Update for Windows Server 2003 for Itanium-based Systems (KB958644)

http://download.microsoft.com/download/1/8/e/18efd717-b406-4a19-98d5-5ee80351bedf/WindowsServer2003-KB958644-ia64-ENU.exe

Security Update for Windows 7 Pre-Beta (KB958644)

http://download.microsoft.com/download/c/0/7/c07fca67-b0e2-4c9c-9c1f-9cde37131747/Windows6.1-KB958644-x86.msu

Security Update for Windows Server 2008 x64 Edition (KB958644)

http://download.microsoft.com/download/0/f/4/0f425c69-4a1f-4654-b4f8-476a5b1bae1d/Windows6.0-KB958644-x64.msu

Security Update for Windows 7 Pre-Beta x64 Edition (KB958644)

http://download.microsoft.com/download/d/4/6/d467b363-8825-4fa9-87fb-7cb4a9cedb56/Windows6.1-KB958644-x64.msu

Security Update for Windows XP (KB958644)

http://download.microsoft.com/download/4/f/a/4fabe08e-5358-418b-81dd-d5038730b324/WindowsXP-KB958644-x86-ENU.exe

Security Update for Windows Server 2008 for Itanium-based Systems (KB958644)

http://download.microsoft.com/download/8/b/c/8bc5a4e6-ba02-4bb9-947f-f253caeaa271/Windows6.0-KB958644-ia64.msu

Security Update for Windows Server 2003 (KB958644)

http://download.microsoft.com/download/e/e/3/ee322649-7f38-4553-a26b-a2ac40a0b205/WindowsServer2003-KB958644-x86-ENU.exe

Security Update for Windows Server 2008 (KB958644)

http://download.microsoft.com/download/4/9/8/498e39f6-9f49-4ca5-99dd-761456da0012/Windows6.0-KB958644-x86.msu

Security Update for Windows Vista for x64-based Systems (KB958644)

http://download.microsoft.com/download/1/5/0/15089485-0e8b-41f9-8617-58e8cdda8c7e/Windows6.0-KB958644-x64.msu

第三部分：MS08-067漏洞企业级安全解决方案

Windows操作系统下的Server服务在处理RPC请求的过程中存在一个漏洞，远程攻击者可以通过发送恶意的RPC请求触发这个溢出，导致完全入侵用户系统，以系统权限执行任意指令并获取数据。该漏洞可导致蠕虫攻击，类似冲击波蠕虫。

一、端口策略

管理员可以通过防火墙和路由设备阻断TCP 139和445端口，制止蠕虫进入内网。

二、终端配置策略

请参考第二部分内容。

三、扩展检测

使用安天AVL SDK反病毒引擎的防火墙和UTM厂商可以使用RPCscan.so模块。

四、SNORT用户可添加以下规则：

(相关链接：http://www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/EXPLOIT/EXPLOIT_MS08-067?rev=1.1)

#by Secureworks alert udp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (1)"; content:"|0B|"; offset:2; depth:1; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|"; classtype:attempted-admin; reference:url,www.microsoft.com/technet/security/Bulletin/MS08-067.mspx; sid:2008690; rev:1;) alert udp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (2)"; content:"|1F 00|"; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|"; content:"..\..\"; classtype:attempted-admin; reference:url,www.microsoft.com/technet/security/Bulletin/MS08-067.mspx; sid:2008691; rev:1;) alert udp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (3)"; content:"|1F 00|"; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|"; content:"../../; classtype:attempted-admin; reference:url,www.microsoft.com/technet/security/Bulletin/MS08-067.mspx; sid:2008692; rev:1;) alert udp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (4)"; content:"|1F 00|"; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|"; content:"|00 2E 00 2E 00 2F 00 2E 00 2E 00 2F|"; classtype:attempted-admin; reference:url,www.microsoft.com/technet/security/Bulletin/MS08-067.mspx; sid:2008693; rev:1;) alert udp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (5)"; content:"|1F 00|"; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|"; content:"|00 2E 00 2E 00 5C 00 2E 00 2E 00 5C|"; classtype:attempted-admin; reference:url,www.microsoft.com/technet/security/Bulletin/MS08-067.mspx; sid:2008694; rev:1;) alert udp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (6)"; content:"|0B|"; offset:2; depth:1; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|"; classtype:attempted-admin; reference:url,www.microsoft.com/technet/security/Bulletin/MS08-067.mspx; sid:2008695; rev:1;) alert udp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (7)"; content:"|20 00|"; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|"; content:"..\..\"; classtype:attempted-admin; reference:url,www.microsoft.com/technet/security/Bulletin/MS08-067.mspx; sid:2008696; rev:1;) alert udp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (8)"; content:"|20 00|"; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|"; content:"../../; classtype:attempted-admin; reference:url,www.microsoft.com/technet/security/Bulletin/MS08-067.mspx; sid:2008697; rev:1;) alert udp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (9)"; content:"|20 00|"; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|"; content:"|00 2E 00 2E 00 2F 00 2E 00 2E 00 2F|"; classtype:attempted-admin; reference:url,www.microsoft.com/technet/security/Bulletin/MS08-067.mspx; sid:2008698; rev:1;) alert udp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (10)"; content:"|20 00|"; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|"; content:"|00 2E 00 2E 00 5C 00 2E 00 2E 00 5C|"; classtype:attempted-admin; reference:url,www.microsoft.com/technet/security/Bulletin/MS08-067.mspx; sid:2008699; rev:1;) alert udp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 - Known Exploit Instance"; content:"|00 2e 00 2e 00 2f 00 2e 00 2e 00 2f 00 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 87|"; classtype:attempted-admin; reference:url,www.microsoft.com/technet/security/Bulletin/MS08-067.mspx; sid:2008700; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (11)"; flow:established,to_server; content:"|0B|"; offset:2; depth:1; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|"; classtype:attempted-admin; reference:url,www.microsoft.com/technet/security/Bulletin/MS08-067.mspx; sid:2008701; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (12)"; flow:established,to_server; content:"|1F 00|"; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|"; content:"\..\"; classtype:attempted-admin; reference:url,www.microsoft.com/technet/security/Bulletin/MS08-067.mspx; sid:2008702; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (13)"; flow:established,to_server; content:"|1F 00|"; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|"; content:"/../; classtype:attempted-admin; reference:url,www.microsoft.com/technet/security/Bulletin/MS08-067.mspx; sid:2008703; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (14)"; flow:established,to_server; content:"|1F 00|"; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|"; content:"|00 2E 00 2E 00 2F 00 2E 00 2E 00 2F|"; classtype:attempted-admin; reference:url,www.microsoft.com/technet/security/Bulletin/MS08-067.mspx; sid:2008704; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (15)"; flow:established,to_server; content:"|1F 00|"; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|"; content:"|00 2E 00 2E 00 5C 00 2E 00 2E 00 5C|"; classtype:attempted-admin; reference:url,www.microsoft.com/technet/security/Bulletin/MS08-067.mspx; sid:2008705; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (16)"; flow:established,to_server; content:"|0B|"; offset:2; depth:1; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|"; classtype:attempted-admin; reference:url,www.microsoft.com/technet/security/Bulletin/MS08-067.mspx; sid:2008706; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (17)"; flow:established,to_server; content:"|1F 00|"; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|"; content:"..\..\"; classtype:attempted-admin; reference:url,www.microsoft.com/technet/security/Bulletin/MS08-067.mspx; sid:2008707; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (18)"; flow:established,to_server; content:"|1F 00|"; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|"; content:"../../; classtype:attempted-admin; reference:url,www.microsoft.com/technet/security/Bulletin/MS08-067.mspx; sid:2008708; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (19)"; flow:established,to_server; content:"|1F 00|"; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|"; content:"|00 2E 00 2E 00 2F 00 2E 00 2E 00 2F|"; classtype:attempted-admin; reference:url,www.microsoft.com/technet/security/Bulletin/MS08-067.mspx; sid:2008709; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (20)"; flow:established,to_server; content:"|1F 00|"; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|"; content:"|00 2E 00 2E 00 5C 00 2E 00 2E 00 5C|"; classtype:attempted-admin; reference:url,www.microsoft.com/technet/security/Bulletin/MS08-067.mspx; sid:2008710; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (21)"; flow:established,to_server; content:"|0B|"; offset:2; depth:1; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|"; classtype:attempted-admin; reference:url,www.microsoft.com/technet/security/Bulletin/MS08-067.mspx; sid:2008711; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (22)"; flow:established,to_server; content:"|20 00|"; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|"; content:"\..\"; classtype:attempted-admin; reference:url,www.microsoft.com/technet/security/Bulletin/MS08-067.mspx; sid:2008712; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (23)"; flow:established,to_server; content:"|20 00|"; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|"; content:"/../; classtype:attempted-admin; reference:url,www.microsoft.com/technet/security/Bulletin/MS08-067.mspx; sid:2008713; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (24)"; flow:established,to_server; content:"|20 00|"; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|"; content:"|00 2E 00 2E 00 2F 00 2E 00 2E 00 2F|"; classtype:attempted-admin; reference:url,www.microsoft.com/technet/security/Bulletin/MS08-067.mspx; sid:2008714; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (25)"; flow:established,to_server; content:"|20 00|"; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|"; content:"|00 2E 00 2E 00 5C 00 2E 00 2E 00 5C|"; classtype:attempted-admin; reference:url,www.microsoft.com/technet/security/Bulletin/MS08-067.mspx; sid:2008715; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (26)"; flow:established,to_server; content:"|0B|"; offset:2; depth:1; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|"; classtype:attempted-admin; reference:url,www.microsoft.com/technet/security/Bulletin/MS08-067.mspx; sid:2008716; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (27)"; flow:established,to_server; content:"|20 00|"; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|"; content:"..\..\"; classtype:attempted-admin; reference:url,www.microsoft.com/technet/security/Bulletin/MS08-067.mspx; sid:2008717; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (28)"; flow:established,to_server; content:"|20 00|"; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|"; content:"../../; classtype:attempted-admin; reference:url,www.microsoft.com/technet/security/Bulletin/MS08-067.mspx; sid:2008718; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (29)"; flow:established,to_server; content:"|20 00|"; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|"; content:"|00 2E 00 2E 00 2F 00 2E 00 2E 00 2F|"; classtype:attempted-admin; reference:url,www.microsoft.com/technet/security/Bulletin/MS08-067.mspx; sid:2008719; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (30)"; flow:established,to_server; content:"|20 00|"; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|"; content:"|00 2E 00 2E 00 5C 00 2E 00 2E 00 5C|"; classtype:attempted-admin; reference:url,www.microsoft.com/technet/security/Bulletin/MS08-067.mspx; sid:2008720; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 - Known Exploit Instance (2)"; flow:established,to_server; content:"|00 2e 00 2e 00 2f 00 2e 00 2e 00 2f 00 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 87|"; classtype:attempted-admin; reference:url,www.microsoft.com/technet/security/Bulletin/MS08-067.mspx; sid:2008721; rev:1;)