Zabezpečení > Informační zpravodaje zabezpečení

Informační zpravodaj zabezpečení společnosti Microsoft (951306)

Chyba zabezpečení systému Windows umožňuje zvýšení úrovně oprávnění

Publikováno: 17. dubna 2008 | Aktualizováno: 23. dubna 2008

Společnost Microsoft provádí šetření nových veřejně oznámených zpráv o chybě zabezpečení, která by mohla umožnit zvýšení úrovně oprávnění z ověřovaného uživatele na uživatele s oprávněním LocalSystem. Tato chyba zabezpečení ohrožuje systém Windows XP Professional Service Pack 2 a všechny podporované verze systému Windows Server 2003, Windows Vista a Windows Server 2008. Tento informační zpravodaj je určen pro zákazníky, kteří umožňují spouštění kódu zadaného uživatelem v ověřovaném kontextu, například v rámci Internetové informační služby a na serveru SQL Server. Touto chybou zabezpečení, která může vést ke zvýšení oprávnění, mohou být více ohroženi poskytovatelé služeb.

Společnost Microsoft si v současné době není vědoma žádných útoků, při kterých by se uživatelé se zlými úmysly snažili této chyby zabezpečení zneužít. Po důkladném přezkoumání podnikne společnost Microsoft příslušné kroky na ochranu svých zákazníků. V závislosti na potřebách zákazníků se může jednat o poskytování řešení prostřednictvím aktualizace Service Pack, měsíčně vydávané aktualizace zabezpečení nebo mimořádně vydané aktualizace zabezpečení.

Obecné informace

Přehled

Účel tohoto informačního zpravodaje: Tento informační zpravodaj má sloužit jako první upozornění zákazníkům na tuto chybu zabezpečení. Také obsahuje další informace o dopadu na účty služeb systému Windows. Další informace získáte v částech Možná zástupná řešení a Doporučené postupy tohoto informačního zpravodaje zabezpečení.

Stav informačního zpravodaje: Informační zpravodaj byl publikován.

Doporučení: Přečtěte si navrhované akce a podle potřeby proveďte konfiguraci.

OdkazyIdentifikace

Článek znalostní báze Microsoft Knowledge Base

951306

Odkaz na seznam CVE

CVE-2008-1436

Tento informační zpravodaj se vztahuje k následujícímu softwaru.

Související software

Windows XP Professional Service Pack 2

Windows Server 2003 Service Pack 1 a Windows Server 2003 Service Pack 2

Windows Server 2003 x64 Edition a Windows Server 2003 x64 Edition Service Pack 2

Windows Server 2003 SP1 pro systémy s procesorem Itanium a Windows Server 2003 SP2 pro systémy s procesorem Itanium

Windows Vista a Windows Vista Service Pack 1

Windows Vista x64 Edition a Windows Vista x64 Edition Service Pack 1

Windows Server 2008 pro 32bitové systémy

Windows Server 2008 pro systémy s procesorem x64

Windows Server 2008 pro systémy s procesorem Itanium

Na začátek sekceNa začátek sekce

Nejčastější dotazy

Co je cílem tohoto informačního zpravodaje?
Tento informační zpravodaj vysvětluje veřejně oznámené zprávy o chybě zabezpečení, která by mohla umožnit zvýšení úrovně oprávnění z ověřovaného uživatele na uživatele s oprávněním LocalSystem. Tato chyba zabezpečení ohrožuje systém Windows XP Professional Service Pack 2, Windows Server 2003, Windows Vista a Windows Server 2008. Tato chyba zabezpečení se týká softwaru uvedeného v části Přehled.

Jedná se o chybu zabezpečení, která vyžaduje vydání aktualizace zabezpečení společnosti Microsoft?
Po důkladném přezkoumání podnikne společnost Microsoft příslušné kroky na ochranu svých zákazníků. To může zahrnovat poskytnutí aktualizace zabezpečení prostřednictvím našeho procesu vydávání aktualizací.

Jaká je příčina tohoto ohrožení?
Speciálně vytvořený kód běžící v kontextu účtů NetworkService nebo LocalService může získat přístup k prostředkům v procesech, které jsou také spuštěny s oprávněními účtu NetworkService nebo LocalService. Některé z těchto procesů mohou mít možnost zvýšit svou úroveň oprávnění na úroveň oprávnění účtu LocalSystem, což umožní jakémukoli procesu NetworkService nebo LocalService zvýšit úroveň jeho oprávnění také na úroveň LocalSystem.

Jak je ohrožena služba IIS?
Tato chyba zabezpečení může ohrožovat kód zadaný uživatelem běžící na serveru služby IIS, například rozšíření a filtry ISAPI, a kód ASP.NET běžící se vztahem úplné důvěryhodnosti. Služba IIS není ohrožena v následujících případech:

výchozí instalace služby IIS 5.1, IIS 6.0 a IIS 7.0;

služba ASP.NET nakonfigurovaná na spouštění s úrovní důvěryhodnosti nižší než Úplná důvěryhodnost;

klasický kód ASP.

Jak je ohrožen SQL Server?
SQL Server je ohrožen v případě, že má uživatel udělena oprávnění pro správu k načtení a spuštění kódu. Uživatel s oprávněními pro správu by mohl spustit speciálně vytvořený kód, který by mohl útoku zneužít. Tato oprávnění však nejsou udělena ve výchozím nastavení.

Mohl by útočník tuto chybu zabezpečení zneužít i jinými způsoby?
Ano. V  systému Windows Server 2003 může útočník zneužít službu MSDTC (Microsoft Distributed Transaction Coordinator), která je spuštěna v kontextu účtu NetworkService k získání tokenu NetworkService pro proces, který je spuštěn jako jiná identita než identita služby. Útočník může pomocí tohoto tokenu NetworkService zvýšit úroveň oprávnění na úroveň System, pokud má tato identita procesu oprávnění SeImpersonatePrivilege. Systém Windows Server 2008 ani Windows Vista nemohou být tímto způsobem zneužity.

Jaké další aplikace by mohly být ohroženy?
Útokem, při kterém budou zvýšena oprávnění způsobem popsaným v tomto informačním zpravodaji, může být ohrožen jakýkoli proces s oprávněními SeImpersonatePrivilege (další informace naleznete v článku 821546 znalostní báze Microsoft Knowledge Base), v rámci kterého je načten a spuštěn kód zadaný uživatelem.

Které systémy jsou touto chybou ohroženy nejvíce?
Systém Windows XP Professional Service Pack 2 a všechny podporované verze a edice systému Windows Server 2003, Windows Vista a Windows Server 2008 mohou být ohroženy, pokud je povolena služba IIS a pokud je nainstalován a nakonfigurován SQL Server nebo pokud je nasazen ve stavu, ve kterém by mohl být ohrožen způsobem popsaným v tomto informačním zpravodaji. Touto chybou zabezpečení jsou více ohroženy systémy IIS umožňující uživatelům odesílat na server kód. Systémy SQL Server jsou ohroženy v případě, že mají nedůvěryhodní uživatelé udělena přístupová oprávnění účtu se zvýšenými oprávněními. To může zahrnovat poskytovatele hostování webu nebo podobná prostředí.

Na začátek sekceNa začátek sekce

Doporučené postupy

Možná zástupná řešení

IIS 6.0: Nakonfigurujte identitu pracovního procesu (WPI – Worker Process Identity) pro fond aplikací v rámci služby IIS na použití vytvořeného účtu ve Správci služby IIS a zakažte službu MSDTC.

Proveďte následující kroky:

1.

Ve Správci služby IIS rozbalte uzel místního počítače, rozbalte položku Fondy aplikací, pravým tlačítkem myši klepněte na fond aplikací a vyberte příkaz Vlastnosti.

2.

Klepněte na kartu Identita a klepněte na možnost Konfigurovatelný. Do pole Uživatelské jméno a Heslo zadejte uživatelské jméno a heslo, které má pracovní proces používat.

3.

Přidejte zvolený uživatelský účet do skupiny IIS_WPG.

Zakázání služby Koordinátor DTC pomůže chránit postižený systém před pokusy o zneužití této chyby zabezpečení. Službu Koordinátor DTC zakážete následujícím způsobem:

1.

Klepněte na tlačítko Start a potom na příkaz Ovládací panely. Můžete také přejít na příkaz Nastavení a pak klepnout na příkaz Ovládací panely.

2.

Poklepejte na ikonu Nástroje pro správu. Můžete také klepnout na možnost Přepnout do klasického zobrazení a pak poklepat na ikonu Nástroje pro správu.

3.

Poklepejte na položku Služby.

4.

Poklepejte na položku Koordinátor DTC.

5.

V seznamu Typ spouštění klepněte na položku Zakázáno.

6.

Pokud je služba spuštěna, klepněte na tlačítko Zastavit a potom klepněte na tlačítko OK.

Službu MSDTC je také možné zastavit a zakázat zadáním následujícího příkazu na příkazovém řádku:

sc stop MSDTC & sc config MSDTC start= disabled

Dopad tohoto zástupného řešení: Důsledkem správy dalších uživatelských účtů vytvořených v rámci tohoto zástupného řešení je vyšší režie související se správou. V závislosti na povaze aplikací běžících v tomto fondu aplikací mohou být ohroženy funkce aplikací. Příkladem je Ověřování systému Windows; viz článek 871179 znalostní báze Microsoft Knowledge Base Article. Po zakázání služby MSDTC nebudou moci aplikace používat distribuované transakce. Po zakázání služby MSDTC nebude možné spustit službu IIS 5.1 v systému Windows XP Professional Service Pack 2 a službu IIS 6.0 v režimu kompatibility se službou IIS 5.0 Po zakázání služby MSDTC nebude možné konfigurovat ani spouštět aplikace modelu COM+.

Na začátek sekceNa začátek sekce
IIS 7.0: Zadejte identitu pracovního procesu pro fond aplikací ve Správci služby IIS.

1.

Ve Správci služby IIS rozbalte uzel serveru, klepněte na položku Fondy aplikací, pravým tlačítkem myši klepněte na fond aplikací a potom klepněte na možnost Upřesnit nastavení.

2.

Najděte položku Identita a klepnutím na tlačítko se třemi tečkami () otevřete dialogové okno Identita fondu aplikací.

3.

Vyberte možnost Vlastní účet a klepnutím na možnost Nastavit otevřete dialogové okno Nastavit pověření. Do textových polí pro uživatelské jméno a heslo zadejte vybraný název účtu a heslo. Zadejte znovu heslo do textového pole pro potvrzení hesla a potom klepněte na tlačítko OK.

Poznámka: Identity fondu aplikací jsou dynamicky přidávány do skupiny IIS_WPG v rámci služby IIS7, a není je proto nutné přidávat ručně.

Dopad tohoto zástupného řešení: Důsledkem správy dalších uživatelských účtů vytvořených v rámci tohoto zástupného řešení je vyšší režie související se správou. V závislosti na povaze aplikací běžících v tomto fondu aplikací mohou být ohroženy funkce aplikací.

Na začátek sekceNa začátek sekce
IIS 7.0: Zadejte identitu pracovního procesu pro fond aplikací pomocí nástroje příkazového řádku APPCMD.exe.

1.

Na příkazovém řádku přejděte do adresáře %systemroot%\system32\inetsrv.

2.

Zadejte příkaz APPCMD.exe s následující syntaxí: Řetězec je název fondu aplikací; řetězecUživatelské_jméno je uživatelské jméno účtu přiřazeného fondu aplikací; řetězecHeslo je heslo pro daný účet.

appcmd set config /section:fondy_aplikací /
[name='řetězec'].model_procesu.typ_identity:konkrétní_uživatel /
[name='řetězec'].model_procesu.uživatelské_jméno:řetězec /
[name='řetězec'].model_procesu.heslo:řetězec

Poznámka: Identity fondu aplikací jsou dynamicky přidávány do skupiny IIS_WPG v rámci služby IIS 7.0, a není je proto nutné přidávat ručně.

Dopad tohoto zástupného řešení: Důsledkem správy dalších uživatelských účtů vytvořených v rámci tohoto zástupného řešení je vyšší režie související se správou. V závislosti na povaze aplikací běžících v tomto fondu aplikací mohou být ohroženy funkce aplikací.

Na začátek sekceNa začátek sekce
Na začátek sekceNa začátek sekce
Na začátek sekceNa začátek sekce

Zdroje informací:

Zpětnou vazbu můžete poskytnout vyplněním formuláře na webu Pomoc a podpora společnosti Microsoft: Kontaktujte nás.

Zákazníci mohou získat technickou podporu na webu služby technické podpory společnosti Microsoft. Další informace o dostupných možnostech technické podpory naleznete na webu Pomoc a podpora společnosti Microsoft.

Mezinárodní zákazníci získají podporu u místních zastoupení společnosti Microsoft. Další informace o možnostech kontaktování společnosti Microsoft v případě, že budete potřebovat mezinárodní technickou podporu, získáte na webu mezinárodní technické podpory.

Další informace o zabezpečení produktů společnosti Microsoft nabízí web Microsoft TechNet Security.

Zřeknutí se záruky:

Informace v tomto zpravodaji jsou poskytovány tak, jak jsou, bez jakékoli záruky. Společnost Microsoft neposkytuje žádné záruky, výslovně uvedené či mlčky předpokládané, včetně záruk obchodovatelnosti a vhodnosti pro určitý účel. Společnost Microsoft ani její dodavatelé nenesou v žádném případě zodpovědnost za žádné škody, včetně přímých, nepřímých, náhodných či následných škod, ztráty zisku či zvláštních škod, a to ani v případě, že byli na možnost takových škod upozorněni. V některých zemích a právních řádech není dovoleno vyloučit nebo omezit odpovědnost, proto se výše uvedené omezení na vás nemusí vztahovat.

Revize: 

17. dubna 2008: Informační zpravodaj byl publikován

23. dubna 2008: Bylo přidáno objasnění dopadu zástupného řešení pro službu IIS 6.0


NahoruNahoru