搜索安全公告

Microsoft 安全公告 MS06-011

许可的 Windows 服务 DACL 可能导致特权提升 (914798)

发布日期: 三月 14, 2006 | 更新日期: 六月 13, 2006

版本: 2.0

摘要

本文的目标读者: 使用 Microsoft Windows 的客户

漏洞的影响: 特权提升

最高严重等级: 重要

建议: 客户应尽早应用该更新。

安全更新替代:无。

注意事项: Microsoft 知识库文章 914798 介绍了客户在安装此安全更新时可能遇到的当前已知问题。 本文还介绍了这些问题的建议解决办法。 有关详细信息,请参阅 Microsoft 知识库文章 914798

经过测试的软件和安全更新下载位置:

受影响的软件:

Microsoft Windows XP Service Pack 1 下载此更新

Microsoft Windows Server 2003 – 下载此更新

Microsoft Windows Server 2003(用于基于 Itanium 的系统)– 下载此更新

Top of sectionTop of section

不受影响的软件:

Microsoft Windows 2000 Service Pack 4

Microsoft Windows 98、Microsoft Windows 98 Second Edition (SE) 和 Microsoft Windows Millennium Edition (ME)

Microsoft Windows XP Service Pack 2

Microsoft Windows XP Professional x64 Edition

Microsoft Windows Server 2003 Service Pack 1

Microsoft Windows Server 2003 Service Pack 1(用于基于 Itanium 的系统)

Microsoft Windows Server 2003 x64 Edition

一般信息

摘要

摘要:

此更新可解决一个新发现的公开漏洞。 本公告的“漏洞详细资料”部分中对此漏洞进行了说明。

成功利用此漏洞的攻击者可以完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

我们建议客户应尽早应用此更新。

严重等级和漏洞标识符:

漏洞标识符漏洞的影响Windows 98、98 SE、MEWindows 2000Windows XP Service Pack 1Windows XP Service Pack 2Windows Server 2003Windows Server 2003 Service Pack 1

许可的 Windows 服务 DACL - CVE-2006-0023

特权提升

重要

中等

评估是基于以下几点作出的:受此漏洞影响的系统类型,它们的典型部署模式,以及利用此漏洞会对它们产生什么影响。

注意 非 x86 操作系统版本与 x86 操作系统版本的严重等级按以下方式对应:

Microsoft Windows XP Professional x64 Edition 的严重等级与 Windows XP Service Pack 2 的严重等级相同。

Microsoft Windows Server 2003(用于基于 Itanium 的系统)的严重等级与 Windows Server 2003 的严重等级相同。

Microsoft Windows Server 2003 SP1(用于基于 Itanium 的系统)的严重等级与 Windows Server 2003 Service Pack 1 的严重等级相同。

Microsoft Windows Server 2003 x64 Edition 的严重等级与 Windows Server 2003 Service Pack 1 的严重等级相同。

Top of sectionTop of section

与此安全更新相关的常见问题解答 (FAQ)

为什么 Microsoft 在 2006 年 6 月 13 日重新发布此公告?
Microsoft 更新了此公告以及关联的安全更新,以包括 NetBT、RemoteAccess 和 TCPIP 服务经过更新的注册表项值。 已经将这些值修改为与 Windows XP Service Pack 1 系统上 Windows XP Service Pack 2 中相同的值。 鼓励运行 Windows XP Service Pack 1 的客户应用此修订的更新,以针对通过这些服务进行的特权提升获得额外安全性,具体情况如本安全公告的“漏洞详细资料”部分所述。 没有应用 Service Pack 的 Windows 2003 系统不受此重新发布的影响。 有关详细信息以及更新的注册表项值,请参阅 Microsoft 知识库文章 914798

修订的安全更新包括哪些更改?
修订的安全更新不包含对初始安全更新中包括的二进制的更改。 安装期间,修订的安全更新将更新 NetBT、RemoteAccess 和 TCPIP 服务中的注册表项值,具体情况如 Microsoft 知识库文章 914798 中所述。

当客户安装此安全更新时可能遇到什么已知问题?
Microsoft 知识库文章 914798 介绍了客户在安装此安全更新时可能遇到的当前已知问题。 本文还介绍了这些问题的建议解决办法。 有关详细信息,请参阅 Microsoft 知识库文章 914798

为什么安装此更新之后没有对系统应用任何更新文件?
对于 Windows XP Service Pack 1 系统,此更新将服务自由访问控制列表 (DACL) 设置为与 Windows XP Service Pack 2 相同的设置。对于没有安装 Service Pack 的 Windows 2003,此更新将选择的服务 DACL 设置为 Windows 2003 Service Pack 1 设置。 这些配置更改是由安装程序执行的,因此应用此安全更新并不会更新系统文件。

是否能够卸载此更新?
由于应用此更新并不会修改任何系统文件,因此此更新无法删除。  对于没有安装 Service Pack 的 Windows 2003 和 Windows XP SP1 系统,此更新将选择的服务 DACL 设置为 Windows 2003 SP1 和 Windows XP SP2 设置。 这些配置更改是由安装程序执行的,因此应用此安全更新并不会更新系统文件。 但是,您可以使用系统实用程序还原更改。 要了解有关删除和还原此更新所做的配置更改的更多信息,请参阅 Microsoft 知识库文章 914798。

此更新是否包含任何与安全性相关的功能更改?
是。 除了本公告“漏洞详细资料”部分列出的服务外,该更新还修改下表中列出的服务和服务注册表项的 DACL,以提供附加纵深防御保护。 对于 Windows XP Service Pack 1 系统,这些附加服务和服务注册表项将以下列出的服务的 DACL 设置为与 Windows XP Service Pack 2 相同的设置;对于没有应用 Service Pack 的 Windows 2003 系统,这些附加服务和服务注册表项将以下列出的服务的 DACL 设置为与 Windows 2003 Service Pack 1 相同的设置。 有关此更新附带的这些和其他服务以及注册表项 DACL 更改的其他信息,请参阅 Microsoft 知识库文章 914798

此更新中包括的附加服务和注册表项更改

操作系统

服务

注册表项

Microsoft Windows XP Service Pack 1

MSDTC

 

 

 

DHCP

 

 

NetBT

 

 

远程访问

 

 

TCPIP

Windows Server 2003

MSDTC

 

SysmonLog

 

DHCP

 

 

DnsCache

 

 

NetBT

 

 

远程访问

 

 

TCPIP

Windows 98、Windows 98 Second Edition 或 Windows Millennium Edition 是否会受到此安全公告中所描述的一个或多个漏洞的严重影响?
否。 已对摘要中列出的软件进行了测试,以确定这些版本是否会受到影响。 其他版本或者不再包括安全更新支持,或者可能不会受到影响。 要确定产品和版本的技术支持生命周期,请访问 Microsoft 产品技术支持生命周期网站

可否使用 Microsoft 基准安全分析器 (MBSA) 1.2.1 确定是否需要此更新?
是。 MBSA 1.2.1 将确定是否需要此更新。 有关 MBSA 的详细信息,请访问 MBSA 网站。 由于此更新无法卸载,因此如果受影响的 DACL 被更改或还原为以前的状态,用户需要编辑 MBSA 的注册表以再次正确识别是否需要此更新。 有关如何更改 MBSA 1.2.1 的注册表以确定是否需要手动删除此更新的信息,请参阅 Microsoft 知识库文章 914798

可否使用 Microsoft 基准安全分析器 (MBSA) 2.0 确定是否需要此更新?
是。 MBSA 2.0 将确定是否需要此更新。 MBSA 2.0 可以为 Microsoft Update 支持的产品检测安全更新。 有关 MBSA 的详细信息,请访问 MBSA 网站。 由于此更新无法卸载,因此如果受影响的 DACL 被更改或还原为以前的状态,用户需要编辑 MBSA 的注册表以再次正确识别是否需要此更新。 有关如何更改 MBSA 2.0 的注册表以确定是否需要手动删除此更新的信息,请参阅 Microsoft 知识库文章 914798

可否使用 Systems Management Server (SMS) 确定是否需要此更新?
是。 SMS 可以帮助您检测和部署此安全更新。 有关 SMS 的信息,请访问 SMS 网站

SMS 可以使用安全更新清单工具检测由 Windows Update 提供、软件更新服务支持的安全更新以及由 MBSA 1.2.1 支持的其他安全更新。有关安全更新清单工具的详细信息,请访问下列 Microsoft 网站。 有关安全更新清单工具限制的详细信息,请参阅 Microsoft 知识库文章 306460

SMS 可以使用适用于 Microsoft 更新的 SMS 2003 清单工具检测 Microsoft Update 提供的以及 Windows Server 更新服务支持的安全更新。 有关适用于 Microsoft 更新的 SMS 2003 清单工具的详细信息,请访问以下 Microsoft 网站

Top of sectionTop of section

漏洞详细资料

可能导致特权提升的许可的 Windows 服务 DACL - CVE-2006-0023

Windows XP Service Pack 1 上存在一个特权提升漏洞。默认情况下,Windows XP Service Pack 1 上识别的 Windows 服务所设置的权限级别可能允许低特权用户更改与该服务关联的属性。 Windows 2003 上识别的服务所设置的权限级别可能允许属于 Network Configuration Operators 组的用户更改与该服务关联的属性。 仅目标计算机上 Network Configuration Operators 组的成员可以远程攻击 Windows Server 2003,此组默认情况下不包含任何用户。 该漏洞可能允许具有有效的登录凭据的用户完全控制 Microsoft Windows XP Service Pack 1 上的系统。

可能导致特权提升的许可的 Windows 服务 DACL (CVE-2006-0023) 的缓解因素

攻击者必须拥有有效的登录凭据才能利用此漏洞。 匿名用户无法利用此漏洞。

识别的六个服务其中四个(NetBT、SCardSvr、DHCP、DnsCache)需要攻击者已经在具有特权的安全上下文中运行。 另外两个服务 SSDPSRV 和 UPNPHost 仅在 Windows XP Service Pack 1 上容易受到攻击,允许经过身份验证的用户攻击易受攻击的系统。

Top of sectionTop of section
可能导致特权提升的 Windows 服务 DACL 漏洞 (CVE-2006-0023) 的变通办法:

Microsoft 已测试以下变通办法。 识别的变通办法会将 Windows XP Service Pack 1 和 Windows Server 上的默认 DACL 更改为 Windows XP Service Pack 2 和 Windows Server 2003 Service Pack 1 使用的增强的安全 DACL。因此,这些变通办法被视为此问题的完整解决方案。 由于最新的操作系统已提供了建议的访问控制一段时间,因此,预计这些访问控制的威胁较小。 但是,更改 DACL 可能造成应用程序不兼容。

使用 sc.exe 命令为识别的服务设置经过修改的访问控制:

注意 您必须以特权用户身份运行 sc.exe。 您可以通过使用计算机启动脚本或使用 SMS 脚本运行此命令。 通过运行此命令,您可以将 DACL 的安全等级提高为与 Windows XP Service Pack 2 和 Windows Server 2003 Service Pack 1 相同的安全等级。有关 sc.exe 命令和如何设置 Windows 服务的 DACL 的详细信息,请参阅以下 Microsoft 产品文档。 此缓解措施不需要重新启动计算机。

对于 Windows XP Service Pack 1,运行下列命令。 每个命令均会更改关联的受影响服务上的 DACL。

sc sdset ssdpsrv D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPLORC;;;AU)(A;;RPWPDTRC;;;LS)

sc sdset netbt D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;DT;;;LS)(A;;DT;;;NS)(A;;CCLCSWRPLOCRRC;;;NO)

sc sdset upnphost
D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPLORC;;;AU)(A;;CCDCLCSWLOCRRC;;;LS)

sc sdset scardsvr D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCLCSWRPWPDTLOCRRC;;;LS)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPLOCRRC;;;S-1-2-0)

sc sdset dhcp D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;NO)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)

sc sdset dnscache D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCLCSWRPWPDTLOCRRC;;;NO)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)

对于 Windows Server 2003,运行下列命令。 每个命令均会更改关联的受影响服务上的 DACL。

sc sdset netbt D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;DT;;;LS)(A;;DT;;;NS)(A;;CCLCSWRPLOCRRC;;;NO)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

sc sdset dhcp D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;NO)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

sc sdset dnscache D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCLCSWRPWPDTLOCRRC;;;NO)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

注意 对于 Windows Server 2003,仅 NetBT、DnsCache 和 DHCP 是识别的受影响的服务。 在 Windows Server 2003 的攻击情形中,攻击者必须以 Network Configuration Operators 组成员的身份发起攻击。 此组默认情况下是空组。

变通办法的影响:

使用组策略为识别的服务部署经过修改的访问控制。

域管理员可以使用组策略和安全模板来将经过修改的访问控制部署到 Windows XP Service Pack 1 系统。 有关如何使用组策略实施安全模板的详细信息,请参阅 Microsoft 知识库文章 816585。您不必重新启动计算机即可完成此缓解措施。

对于 Windows XP Service Pack 1,使用以下安全模板修改 Upnphost、SCardSvr、SSDPSRV、DnsCache 和 DHCP 服务。

[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[Service General Setting]
SSDPSRV,2,"D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-32-549)(A;;CCLCSWRPLORC;;;AU)(A;;RPWPDTRC;;;S-1-5-19)"
upnphost,2,"D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-32-549)(A;;CCLCSWRPLORC;;;AU)(A;;CCDCLCSWLOCRRC;;;S-1-5-19)"
scardsvr,2,"D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCLCSWRPWPDTLOCRRC;;;S-1-5-19)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-32-549)(A;;CCLCSWRPLOCRRC;;;S-1-2-0)"
dhcp,2,"D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;NO)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
dnscache,2,"D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCLCSWRPWPDTLOCRRC;;;NO)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

对于 Windows Server 2003,使用以下安全模板修改 DnsCache 和 DHCP 服务。

[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[Service General Setting]
dhcp,,"D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;NO)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
dnscache,,"D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCLCSWRPWPDTLOCRRC;;;NO)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

注意 对于 Windows XP Service Pack 1 和 Windows Server 2003,不支持使用 Microsoft 组策略对象编辑器更改 NetBT 服务上的服务 DACL。 因此,Windows Server 2003 的安全模板不包括 NetBT 服务 DACL 更改。

注意 对于 Windows Server 2003,仅 NetBT、DHCP 和 DnsCache 是识别的受影响的服务。 在 Windows Server 2003 的攻击情形中,攻击者必须以 Network Configuration Operators 组成员的身份发起攻击。 此组默认情况下是空组,很少填充。

变通办法的影响: 除了将服务 DACL 设置为与 Windows XP Service Pack 2 相同的设置之外,提供的安全模板会将受影响服务的服务启动类型设置为其原始默认配置“自动”。 由于 Windows Server 2003 不支持配置启动类型设置的功能,因此 Windows Server 2003 的启动类型无法更改。

修改 Windows 注册表以为识别的每项服务修改访问控制。

修改服务的首选方法是使用 sc.exe 命令。 但是,您可以使用以下命令来将受影响服务的安全 DACL 修改为与 Windows XP Service Pack 2 相同的等级。建议用户在做任何修改之前备份注册表。 有关注册表脚本和如何修改 Windows 注册表的详细信息,请参阅 Microsoft 知识库文章 214752

对于 Windows XP Service Pack 1,修改下列注册表项以更改 Windows XP Service Pack 1 默认的受影响服务

对于 SSDPSRV 服务:

reg add HKLM\System\CurrentControlSet\Services\SSDPSRV\Security /v Security /t REG_BINARY /d _
01001480bc000000c8000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
00002008c000600000000001400ff010f0001010000000000051200000000001800ff010f00010200000000000520_
0000002002000000001800fd0102000102000000000005200000002302000000001800ff010f00010200000000000_
52000000025020000000014009d00020001010000000000050b000000000014007000020001010000000000051300_
0000010100000000000512000000010100000000000512000000

对于 NetBT 服务:

reg add HKLM\System\CurrentControlSet\Services\netbt\Security /v Security /t REG_BINARY /d _
01001480e8000000f4000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
0000200b80008000000000014008d01020001010000000000050b000000000018009d010200010200000000000520_
0000002302000000001800ff010f000102000000000005200000002002000000001800ff010f00010200000000000_
5200000002502000000001400fd010200010100000000000512000000000014004000000001010000000000051300_
00000000140040000000010100000000000514000000000018009d0102000102000000000005200000002c0200000_
10100000000000512000000010100000000000512000000

对于 UPnPHost 服务:

reg add HKLM\System\CurrentControlSet\Services\upnphost\Security /v Security /t REG_BINARY /d _
01001480bc000000c8000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
00002008c000600000000001400ff010f0001010000000000051200000000001800ff010f00010200000000000520_
0000002002000000001800fd0102000102000000000005200000002302000000001800ff010f00010200000000000_
52000000025020000000014009d00020001010000000000050b000000000014008f01020001010000000000051300_
0000010100000000000512000000010100000000000512000000

对于 ScardSvr 服务:

reg add HKLM\System\CurrentControlSet\Services\scardsvr\Security /v Security /t REG_BINARY /d _
01001480a4000000b0000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
000020074000500000000001400fd01020001010000000000051200000000001400fd010200010100000000000513_
00000000001800ff010f000102000000000005200000002002000000001800ff010f0001020000000000052000000_
025020000000014009d01020001010000000000020000000001010000000000051200000001010000000000051200_
0000

对于 DHCP 服务:

reg add HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\dhcp\security /v Security /t REG_BINARY /d _
01001480900000009C000000140000003000000002001C00010000002801400FF010F00010100000000000100000000020060000_
4000000000014008D01020001010000000000050B00000000001800FD010200012000000000005200000002C02000000001800FF_
010F00010200000000005200000002002000000001400FD010200010100000000000512000000101000000000005120000000101_
00000000000512000000

对于 DnsCache 服务:

reg add HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\dnscache\security /v Security /t REG_BINARY /d_
01001480A8000000B4000000140000003000000002001C00010000002801400FF010F00010100000000000100000000020078000500_
0000000014008D01020001010000000000050B000000000018009D010200012000000000005200000002302000000001800FD010200_
010200000000005200000002C02000000001800FF010F000102000000000005200000002002000000001400FD010200010100000000_
00051200000001010000000000512000000010100000000000512000000

对于 Windows Server 2003,修改下列注册表项以更改 Windows Server 2003 默认的受影响服务。

对于 NetBT 服务:

reg add HKLM\System\CurrentControlSet\Services\netbt\Security /v Security /t REG_BINARY /d _
01001480e8000000f4000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
0000200b80008000000000014008d01020001010000000000050b000000000018009d010200010200000000000520_
0000002302000000001800ff010f000102000000000005200000002002000000001800ff010f00010200000000000_
5200000002502000000001400fd010200010100000000000512000000000014004000000001010000000000051300_
00000000140040000000010100000000000514000000000018009d0102000102000000000005200000002c0200000_
10100000000000512000000010100000000000512000000

对于 DHCP 服务:

reg add HKLM\System\CurrentControlSet\Services\dhcp\Security /v Security /t REG_BINARY /d _
01001480900000009C000000140000003000000002001C00010000002801400FF010F000101000000000001000_
000000200600004000000000014008D01020001010000000000050B00000000001800FD0102000020000000000_
05200000002C02000000001800FF010F000102000000000005200000002002000000001400FD01020001010000_
000000051200000010100000000000512000000010100000000000512000000

对于 DnsCache 服务:

reg add HKLM\System\CurrentControlSet\Services\dnscache\Security /v Security /t REG_BINARY /d _
01001480900000009C000000140000003000000002001C00010000002801400FF010F000101000000000001000_
000000200600004000000000014008D01020001010000000000050B00000000001800FD0102000020000000000_
05200000002C02000000001800FF010F000102000000000005200000002002000000001400FD01020001010000_
000000051200000010100000000000512000000010100000000000512000000

注意 对于这些注册表项值,插入了“_”字符和回车以便阅读。 请删除此字符和此回车以便正确地执行命令。

变通办法的影响: 除将服务 DACL 设置为与 Windows Server 2003 Service Pack 1 和 Windows XP Service Pack 2 相同的 DACL 之外,您不必重新启动计算机即可完成此缓解措施。

Top of sectionTop of section
可能导致特权提升的许可的 Windows 服务 DACL (CVE-2006-0023) 的常见问题解答

该漏洞的影响范围有多大?
这是特权提升漏洞。 成功利用此漏洞的攻击者可以完全控制受影响的系统。 攻击者可以更改与受影响服务关联的默认二进制。 然后攻击者可以停止和重新启动服务,并运行恶意程序或二进制。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

造成漏洞的原因是什么?
默认情况下,Windows XP Service Pack 1 上识别的 Windows 服务所设置的权限级别允许低特权用户更改与该服务关联的属性。 Windows Server 2003 上识别的服务所设置的权限级别可能允许属于 Network Configuration Operators 组的用户更改与该服务关联的属性。

攻击者可能利用此漏洞执行什么操作?
如果更改了设置为识别的服务运行的默认关联程序,低特权用户能够运行通常需要较高访问权限的命令或可执行文件。

哪些人可能会利用此漏洞?
要尝试利用此漏洞,攻击者必须拥有受影响系统的有效登录凭据。

攻击者能够如何利用此漏洞?
要利用此漏洞,攻击者首先需要拥有受影响系统的有效登录凭据。 然后,攻击者可以访问受影响的组件和运行标准应用程序,从而利用该漏洞并完全控制受影响的系统。

受此漏洞威胁最大的系统有哪些?
工作站和服务器均受此漏洞威胁。

Windows 98、Windows 98 Second Edition 或 Windows Millennium Edition 是否会受此漏洞的严重影响?
否。 Windows 98、Windows 98 Second Edition 和 Windows Millennium Edition 不包含受影响的组件。

Windows 2000 是否会受此漏洞的影响?
已经识别的攻击情形涉及 Power Users 管理组的成员,但是此类用户应被视为有广泛权限和能力更改计算机设置的受信任用户。 有关与 Power Users 管理组关联的权限的详细信息,请参阅 Microsoft 知识库文章 825069。如果安装了会增加服务的第三方应用程序代码并且这些服务拥有过度许可的访问控制,Windows 2000 可能容易受到攻击。

如何确定第三方应用程序是否受到了影响?
如果第三方软件供应商的产品需要安装服务,建议用户与该供应商联系并确定任何非默认的 Windows 服务是否受到影响 有关如何将安全的访问控制应用到服务的附加信息和最佳做法,建议软件开发人员访问 Microsoft 知识库文章 914392

是否可以通过 Internet 利用此漏洞?
否。 攻击者必须拥有作为攻击目标的特定系统的有效登录凭据。

此更新有什么作用?
此更新将 Windows XP Service Pack 1 和 Windows Server 上的默认 DACL 更改为 Windows XP Service Pack 2 和 Windows Server 2003 Service Pack 1 上使用的增强的安全 DACL。

发布此安全公告时,此漏洞是否已公开披露?
是。 此漏洞已公开披露。 已为此漏洞分配了常见漏洞和披露号码 CVE-2006-0023

在发布此安全公告时,Microsoft 是否收到任何有关此漏洞已被利用的报告?
否。 在最初发布此安全公告时,Microsoft 看到了公开发布的概念证明代码示例,但未收到任何表明此漏洞已被公开用于攻击客户的信息。

Top of sectionTop of section
Top of sectionTop of section
Top of sectionTop of section

安全更新信息

受影响的软件:

有关您的受影响软件的特定安全更新信息,请单击相应的链接:

Windows Server 2003

先决条件
此安全更新需要 Windows Server 2003 的发布版本。

包括在将来的 Service Pack 中:
此问题的更新将包含在 Windows Server 2003 Service Pack 1 中。

安装信息

此安全更新支持以下安装开关。

受支持的安全更新安装开关
开关描述

/help

显示命令行选项

安装模式 

/passive

无人参与安装模式。 无需用户交互操作,但会显示安装状态。 如果安装结束时需要重新启动,将显示一个带有计时器的对话框,警告计算机将在 30 秒后重新启动。

/quiet

安静模式。 这与无人参与模式相同,但是不显示任何状态或错误消息。

重新启动选项 

/norestart

安装完成后不重新启动

/forcerestart

安装后重新启动计算机,且在关机时强制其他应用程序关闭而不先保存打开的文件。

/warnrestart[:x]

显示一个带有计时器的对话框,警告计算机将在 x 秒后重新启动。 (默认设置为 30 秒。) 与 /quiet 开关或 /passive 开关一起使用。

/promptrestart

显示提示本地用户允许重新启动的对话框

特殊选项 

/overwriteoem

不经提示而覆盖 OEM 文件。

/nobackup

不备份卸载所需的文件

/forceappsclose

在计算机关机时强制关闭其他程序

/log: path

允许重定向安装日志文件

/integrate:path

将更新集成到位于指定路径的 Windows 源文件中。 这些文件位于在开关中指定的路径中。

/extract[:path]

提取文件而不启动安装程序

/ER

启用扩展错误报告功能

/verbose

启用详细日志记录。 在安装期间,创建 %Windir%\CabBuild.log。此日志详述了被复制的文件。 使用此开关可能导致安装过程变慢。

注意 这些开关可以在一个命令中组合使用。 为了保持向后兼容,此安全更新还支持以前版本的安装程序所使用的许多安装开关。 有关受支持的安装开关的详细信息,请参阅 Microsoft 知识库文章 262841。有关 Update.exe 安装程序的详细信息,请访问 Microsoft TechNet 网站

部署信息

对于 Windows Server 2003,要在没有任何用户干预的情况下安装此安全更新,请在命令提示符处使用以下命令:

Windowsserver2003-kb914798-x86-enu /quiet

注意 使用 /quiet 开关将抑制所有消息。 这包括抑制失败消息。 管理员应该使用其中一种支持的方法,验证使用 /quiet 开关时安装是否成功。 管理员还应该检查 KB914798.log 文件,查看使用此开关时的任何失败消息。

有关如何使用软件更新服务部署此安全更新的信息,请访问软件更新服务网站。 有关如何使用 Windows Server 更新服务部署此安全更新的详细信息,请访问 Windows Server 更新服务网站。 此安全更新还将通过 Microsoft Update 网站提供。

重新启动要求

此更新不需要重新启动。 安装程序停止所需的服务,应用此更新,然后重新启动这些服务。 但是,如果由于某种原因而无法停止所需服务,或者正在使用所需文件,则此更新需要重新启动。 如果发生这种情况,将显示一条消息建议您重新启动。 为了降低被迫重新启动的机率,请首先停止所有受影响的服务并且关闭所有可能使用受影响的文件的应用程序,然后安装安全更新。 有关可能提示您重新启动计算机的原因的详细信息,请参阅 Microsoft 知识库文章 887012

删除信息

此更新无法删除。 要了解有关手动删除此更新所做的更改的更多信息,请参阅 Microsoft 知识库文章 914798

文件信息

由于此更新仅修改识别的服务的系统属性,因此安装该更新并不会对系统应用任何新的二进制文件。

有关此问题的详细信息,请参阅 Microsoft 知识库文章 824994

有关 Update.exe 安装程序的详细信息,请访问 Microsoft TechNet 网站

有关此公告中出现的术语详细信息(如修补程序),请参阅 Microsoft 知识库文章 824684

验证是否已应用更新

Microsoft 基准安全分析器

要验证受影响的系统是否应用了安全更新,您可以使用 Microsoft 基准安全分析器 (MBSA) 工具。 管理员可以使用 MBSA ,在本地和远程系统中扫描缺少的安全更新和常见的安全配置错误。 有关 MBSA 的详细信息,请访问 Microsoft 基准安全分析器网站

注册表项验证

也可以通过查看以下注册表项,检查此安全更新已安装的文件。

Windows Server 2003 Web Edition、Windows Server 2003 Standard Edition、Windows Server 2003 Enterprise Edition、Windows Server 2003 Datacenter Edition、Windows Small Business Server 2003、Windows Server 2003 Enterprise Edition(用于基于 Itanium 的系统)和 Windows Server 2003 Datacenter Edition(用于基于 Itanium 的系统):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB914798\Filelist

注意 此注册表项可能不包含已安装文件的完整列表。 另外,如果管理员或 OEM 将安全更新集成或组合到 Windows 安装源文件中,则可能无法正确创建此注册表项。

Top of sectionTop of section

Windows XP

先决条件
此安全更新需要 Microsoft Windows XP Service Pack 1。有关详细信息,请参阅 Microsoft 知识库文章 322389

包括在将来的 Service Pack 中:
此问题的更新包含在 Windows XP Service Pack 2 中。

安装信息

此安全更新支持以下安装开关。

受支持的安全更新安装开关
开关描述

/help

显示命令行选项

安装模式 

/passive

无人参与安装模式。 无需用户交互操作,但会显示安装状态。 如果安装结束时需要重新启动,将显示一个带有计时器的对话框,警告计算机将在 30 秒后重新启动。

/quiet

安静模式。 这与无人参与模式相同,但是不显示任何状态或错误消息。

重新启动选项 

/norestart

安装完成后不重新启动

/forcerestart

安装后重新启动计算机,且在关机时强制其他应用程序关闭而不先保存打开的文件。

/warnrestart[:x]

显示一个带有计时器的对话框,警告计算机将在 x 秒后重新启动。 (默认设置为 30 秒。) 与 /quiet 开关或 /passive 开关一起使用。

/promptrestart

显示提示本地用户允许重新启动的对话框

特殊选项 

/overwriteoem

不经提示而覆盖 OEM 文件。

/nobackup

不备份卸载所需的文件

/forceappsclose

在计算机关机时强制关闭其他程序

/log:path

允许重定向安装日志文件

/integrate:path

将更新集成到位于指定路径的 Windows 源文件中。 这些文件位于在开关中指定的路径中。

/extract[:path]

提取文件而不启动安装程序

/ER

启用扩展错误报告功能

/verbose

启用详细日志记录。 在安装期间,创建 %Windir%\CabBuild.log。此日志详述了被复制的文件。 使用此开关可能导致安装过程变慢。

注意 这些开关可以在一个命令中组合使用。 为了保持向后兼容,此安全更新还支持以前版本的安装程序所使用的安装开关。 有关受支持的安装开关的详细信息,请参阅 Microsoft 知识库文章 262841。有关 Update.exe 安装程序的详细信息,请访问 Microsoft TechNet 网站

部署信息

对于 Microsoft Windows XP,要在没有任何用户干预的情况下安装此安全更新,请在命令提示符处使用以下命令:

Windowsxp-kb914798-x86-enu /quiet

注意 使用 /quiet 开关将抑制所有消息。 这包括抑制失败消息。 管理员应该使用其中一种支持的方法,验证使用 /quiet 开关时安装是否成功。 管理员还应该检查 KB914798.log 文件,查看使用此开关时的任何失败消息。

重新启动要求

此更新不需要重新启动。 安装程序停止所需的服务,应用此更新,然后重新启动这些服务。 但是,如果由于某种原因而无法停止所需服务,或者正在使用所需文件,则此更新需要重新启动。 如果发生这种情况,将显示一条消息建议您重新启动。 有关可能提示您重新启动计算机的原因的详细信息,请参阅 Microsoft 知识库文章 887012

删除信息

此更新无法删除。 要了解有关手动删除此更新所做的更改的更多信息,请参阅 Microsoft 知识库文章 914798

由于此更新仅修改识别的服务的系统属性,因此安装该更新并不会对系统应用任何新的二进制文件。

验证是否已应用更新

Microsoft 基准安全分析器

要验证受影响的系统是否应用了安全更新,您可以使用 Microsoft 基准安全分析器 (MBSA) 工具。 管理员可以使用 MBSA ,在本地和远程系统中扫描缺少的安全更新和常见的安全配置错误。 有关 MBSA 的详细信息,请访问 Microsoft 基准安全分析器网站

注册表项验证

也可以通过查看以下注册表项,检查此安全更新已安装的文件。

对于 Windows XP Home Edition Service Pack 1、Windows XP Professional Service Pack 1、Windows XP Tablet PC Edition 和 Windows XP Media Center Edition:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB914798\Filelist

注意 此注册表项可能不包含已安装文件的完整列表。 另外,如果管理员或 OEM 将安全更新集成或组合到 Windows 安装源文件中,则可能无法正确创建此注册表项。

Top of sectionTop of section
Top of sectionTop of section

鸣谢

Microsoft 感谢下列人员或组织与我们一起致力于保护客户的利益:

SIA Group 的 Andres Tarasco 与我们一起努力处理了可能导致特权提升的许可的 Windows 服务 DACL - CVE-2006-0023

获取其他安全更新:

可从以下位置获得针对其他安全问题的更新:

Microsoft 下载中心提供了安全更新。 通过搜索关键字“安全修补程序”,可以非常方便地找到这些更新。

有关客户平台的更新可从 Microsoft Update 网站获得。

支持:

美国和加拿大的客户可拨打电话 1-866-PCSAFETY,从 Microsoft 产品支持服务获得技术支持。 与安全更新有关的电话支持服务是免费的。

其他国家(或地区)的用户可从当地的 Microsoft 分公司获得支持。 与安全更新有关的支持服务不收取任何费用。 有关如何就支持问题与 Microsoft 取得联系方面的详细信息,请访问国际支持网站

安全资源:

Microsoft TechNet Security 网站提供了有关 Microsoft 产品安全的详细信息。

Microsoft 软件更新服务

Microsoft Windows Server 更新服务

Microsoft 基准安全分析器 (MBSA)

Windows Update 

Microsoft Update 

Windows Update 目录: 有关 Windows Update 目录的详细信息,请参阅 Microsoft 知识库文章 323166

Office Update 

软件更新服务:

通过使用 Microsoft 软件更新服务 (SUS),管理员可以在基于 Windows 2000 和 Windows Server 2003 的服务器以及运行 Windows 2000 Professional 或 Windows XP Professional 的台式机系统上快速而可靠地部署最新的重要更新和安全更新。

有关如何使用软件更新服务部署安全更新的详细信息,请访问软件更新服务网站

Windows Server 更新服务:

通过使用 Windows Server 更新服务 (WSUS),管理员可以快速而可靠地将 Windows 2000 操作系统和更高版本、Office XP 和更高版本、Exchange Server 2003 以及 SQL Server 2000 的最新关键更新和安全更新部署到 Windows 2000 和更高版本的操作系统。

有关如何使用 Windows Server 更新服务部署安全更新的详细信息,请访问 Windows Server 更新服务网站

Systems Management Server:

Microsoft Systems Management Server (SMS) 提供了一个用于管理更新且可高度配置的企业解决方案。 通过使用 SMS,管理员可以确定需要安全更新的基于 Windows 的系统,并在整个企业中以可控制的方式执行这些更新的部署,而只对最终用户造成最低程度的干扰。 有关管理员如何使用 SMS 2003 来部署安全更新的详细信息,请访问 SMS 2003 安全修补程序管理网站。 SMS 2.0 用户还可以使用软件更新服务功能包帮助部署安全更新。 有关 SMS 的信息,请访问 SMS 网站

注意 SMS 使用 Microsoft 基准安全分析器、Microsoft Office 检测工具和企业更新扫描工具为安全公告更新检测和部署提供广泛支持。 这些工具可能检测不到某些软件更新。 在这些情况下,管理员可以使用 SMS 的清单功能将更新部署到特定系统上。 有关此过程的详细信息,请访问以下网站。 某些安全更新在重新启动系统后可能需要管理权限。 管理员可以使用提升权限部署工具(在 SMS 2003 管理功能包SMS 2.0 管理功能包中提供)来安装这些更新。

免责声明:

Microsoft 知识库中的信息“按原样”提供,没有任何形式的担保。 Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定目的的适用性的保证。 Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害,商业利润损失,或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。 有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。

修订版本: 

V1.0(2006 年 3 月 14 日): 已发布公告。

V1.1( 2006 年 3 月 17 日): 对于 Windows Server 2003,更新了“文件验证”部分,以反映文件检测的合适注册表项。

V2.0(2006 年 6 月 13 日): 此更新已经过修订,以包括 NetBT、RemoteAccess 和 TCPIP 服务经过更新的注册表项值。 已经将这些值修改为与 Windows XP Service Pack 1 系统上 Windows XP Service Pack 2 以及 Windows 2003 系统(不应用 Service Pack)上 Windows 2003 Service Pack 1 中相同的值。 鼓励客户应用此修订的更新,以针对通过这些服务进行的特权提升获得额外安全性,具体情况如本安全公告的“漏洞详细资料”部分所述。

V2.1(2006 年 6 月 14 日): 已更新公告,阐述没有应用 Service Pack 的 Windows 2003 系统不受 2006 年 6 月 13 日重新发布的影响。


返回页首返回页首