TechNet 首頁 > TechNet 資訊安全 > 資訊安全摘要報告

Microsoft 安全性摘要報告 (951306)

Windows 中的弱點可能會允許權限提高

Published: 2008 年 4 月 17 日 | 更新日期: 2008 年 9 月 2 日

Microsoft 正在調查一項弱點的新公開報告,該弱點可能會允許經過驗證的使用者權限提高至 LocalSystem,這會對 Windows XP Professional Service Pack 2、Windows XP Professional Service Pack 3 及所有受支援版本的 Windows Server 2003、Windows Vista 與 Windows Server 2008 造成影響。允許使用者提供的程式碼在經過驗證的背景 (Internet Information Services (IIS) and SQL Server) 下執行之客戶應檢閱此摘要報告。 主機供應商受此權限提高弱點所帶來的風險可能會提高。

Microsoft 目前尚未發現任何嘗試利用此潛在弱點的攻擊。 Microsoft 會在本調查完成後,採取適當的措施以保護我們的客戶;我們將會視客戶需求,透過 Service Pack、我們每月的安全性更新發行程序或週期性更新以外的安全性更新,提供解決方案。

一般資訊

概觀

摘要報告目的: 提供客戶初步的通知並提供對 Windows 服務帳戶所造成的影響之其他資訊。 如需詳細資訊,請參閱本安全性摘要報告的<因應措施>與<建議動作>等部分。

摘要報告狀態: 摘要報告發行。

建議: 查閱建議採取的行動並作適當設定。

參照識別

Microsoft 知識庫文件編號

951306

CVE 參照

CVE-2008-1436

本次摘要報告討論下列軟體。

相關軟體

Windows XP Professional Service Pack 2 與 Windows XP Professional Service Pack 3

Windows Server 2003 Service Pack 1 與 Windows Server 2003 Service Pack 2

Windows Server 2003 x64 Edition 和 Windows Server 2003 x64 Edition Service Pack 2

適用於 Itanium 型系統的 Windows Server 2003 SP1 和適用於 Itanium 型系統的 Windows Server 2003 SP2

Windows Vista 和 Windows Vista Service Pack 1

Windows Vista x64 Edition 和 Windows Vista x64 Edition Service Pack 1

適用於 32 位元系統的 Windows Server 2008

適用於 x64 系統的 Windows Server 2008

適用於 Itanium 系統的 Windows Server 2008

Top of sectionTop of section

常見問題集

為何於 2008 年 8 月 27 日修訂此摘要報告?
Microsoft 修訂此摘要報告,將 Windows XP Professional Service Pack 3 新增為受影響的軟體。

摘要報告的範圍為何?
本摘要報告針對一項潛在弱點的公開報告提出說明,該弱點可能會允許經過驗證的使用者權限提高至 LocalSystem,這會對 Windows XP Professional Service Pack 2、Windows XP Professional Service Pack 3、Windows Server 2003、Windows Vista 與 Windows Server 2008 造成影響。此問題影響的軟體列於<概觀>一節。

這是需要 Microsoft 發行安全性更新的安全性弱點嗎?
Microsoft 會在本調查完成後採取適當的措施以保護客戶。 保護措施可能包括透過我們的安全性更新發行程序提供安全性更新。

造成這個威脅的原因為何?
在 NetworkService 或 LocalService 帳戶背景下執行的蓄意製作程式碼可能會取得亦以 NetworkService 或 LocalService 帳戶執行的程序中的資源之存取權。 這些程序中有一部分可能能夠將其權限提高至 LocalSystem,允許任何 NetworkService 或 LocalService 程序也將其權限提高至 LocalSystem。

對 IIS 有何影響?
在 IIS 中執行的使用者提供的程式碼 (例如 ISAPI 篩選器和擴充程式) 以及以完全信任權限執行的 ASP.NET 程式碼可能會受此弱點影響。 IIS 在下列情況下不受影響:

預設安裝 IIS 5.1、IIS 6.0 和 IIS 7.0

ASP.NET 設定為以低於「完全信任」權限的信任等級執行

傳統 ASP 程式碼

對 SQL Server 有何影響?
若使用者被授予系統管理權限以載入並執行程式碼的話,則 SQL Server 會受影響。 具系統管理權限的使用者可以執行蓄意製作的程序碼,而該程式碼可能會進行攻擊。 但是,系統預設不授予使用者這個權限。

攻擊者還有什麼其他的攻擊模式可利用?
是。 在 Windows Server 2003 上,攻擊者可利用以 NetworkService 權限執行的 Microsoft Distributed Transaction Coordinator (MSDTC) 服務來取得 NetworkService 權杖,以進入使用服務以外的身分執行的處理序。 之後若此處理序身分識別處理 SeImpersonatePrivilege,則攻擊者便得以使用此 NetworkService 權杖將權限提高至 System。 此種攻擊模式不適用於 Windows Server 2008 或 Windows Vista。

還有什麼其他的應用程式會受到影響?
以 SeImpersonatePrivilege 執行的處理序 (如 Microsoft 知識庫文件編號 821546 所述),會載入並執行使用者提供的程式嗎,因此可能容易受到權限提高攻擊的影響 (如本摘要報告所述)。

因為這個弱點而承受風險的主要系統有哪些?
若在系統處於易受影響的狀態下啟用 IIS,或者安裝與設定或部署 SQL Server,則 Windows XP Professional Service Pack 2、Windows XP Professional Service Pack 3 及所有受影響版本 Windows Server 2003、Windows Vista 和 Windows Server 2008 均可能會有風險。 可讓使用者上載程式碼的 IIS 系統之風險會提高。 若不信任的使用者取得具特殊權限之帳戶存取權,則 SQL Server 系統會有風險。 這可能包括虛擬主機供應商或類似的環境。

Top of sectionTop of section

建議動作

因應措施

IIS 6.0 - 將 IIS 的應用程式集區之工作者處理序識別 (WPI) 設定為使用在 IIS 管理員中建立的帳戶並停用 MSDTC

執行下列步驟:

1.

在 IIS 管理員中,展開本機電腦,展開 [應用程式集區],在應用程式集區上按一下滑鼠右鍵,然後選取 [內容]。

2.

依序按一下 [識別] 索引標籤及 [設定為]。 在 [使用者名稱] 和 [密碼] 方塊中,鍵入您希望工作者處理序用來操作的帳戶之使用者名稱和密碼。

3.

將所選的使用者帳戶新增至 [IIS_WPG] 群組。

停用 Distributed Transaction Coordinator 有助於保護受影響的系統,避免其遭到嘗試利用此弱點的攻擊。 若要停用 Distributed Transaction Coordinator,請執行下列步驟:

1.

請按一下 [開始],然後按一下 [控制台]。 或是,指向 [設定],然後按一下 [控制台]。

2.

按兩下 [系統管理工具]。 或者,按一下 [切換到傳統檢視],然後按兩下 [系統管理工具]。

3.

按兩下 [服務]。

4.

按兩下 [Distributed Transaction Coordinator]。

5.

在 [啟動類型] 清單中,按一下 [已停用]。

6.

按一下 [停止] (如果已啟動的話),然後按一下 [確定]。

您也可以在命令提示字元中使用下列命令來停止及停用 MSDTC 服務:

sc stop MSDTC & sc config MSDTC start= disabled

因應措施的影響: 管理這個因應措施所建立的其他使用者帳戶,會導致系統管理負荷增加。 視於此應用程式集區所執行的應用程式性質而定,應用程式功能可能會受影響。 Windows 驗證就是一個例子;請參閱 Microsoft 知識庫文件編號 871179。停用 MSDTC 將會導致應用程式無法使用分散式交易。 停用 MSDTC 將會防止 IIS 5.0 在 Windows XP Professional Service Pack 2 和 Windows XP Professional Service Pack 3 中執行及 IIS 6.0 在 IIS 5.0 相容性模式下執行。 停用 MSDTC 將會防止使用者設定及執行 COM+ 應用程式。

Top of sectionTop of section
IIS 7.0 - 在 IIS 管理員中指定應用程式集區的 WPI

1.

在 IIS 管理員中,展開伺服器節點,按一下 [應用程式集區],在應用程式集區上按一下滑鼠右鍵,再按一下 [進階設定]

2.

。找到 [識別] 項目,按一下 [...] 按鈕來開啟 [應用程式集區識別] 對話方塊。

3.

選取 [自訂帳戶] 選項,並按一下 [設定] 來開啟 [設定認證] 對話方塊。 在使用者名稱和密碼文字方塊中,輸入選取的 [帳戶名稱] 和 [密碼]。 在 [確認密碼] 對話方塊中,再次輸入密碼,然後按一下 [確定]。

注意:應用程式集區識別會以動態方式新增至 IIS7 的 [IIS_WPG] 群組,不需要手動新增。

因應措施的影響: 管理這個因應措施所建立的其他使用者帳戶,會導致系統管理負荷增加。 視於此應用程式集區所執行的應用程式性質而定,應用程式功能可能會受影響。

Top of sectionTop of section
IIS 7.0 - 使用命令列公用程式 APPCMD.exe,指定應用程式集區的 WPI

1.

從命令提示字元中,變更到 %systemroot%\system32\inetsrv 目錄。

2.

使用下列語法來執行 APPCMD.exe 命令: string 是應用程式集區的名稱;Username string 是指派給應用程式集區之帳戶的使用者名稱;Password string 是帳戶的密碼。

appcmd set config /section:applicationPools /
[name='string'].processModel.identityType:SpecificUser /
[name='string'].processModel.userName:string /
[name='string'].processModel.password:string

注意:應用程式集區識別會以動態方式新增至 IIS 7.0 的 [IIS_WPG] 群組,不需要手動新增。

因應措施的影響: 管理這個因應措施所建立的其他使用者帳戶,會導致系統管理負荷增加。 視於此應用程式集區所執行的應用程式性質而定,應用程式功能可能會受影響。

Top of sectionTop of section
Top of sectionTop of section
Top of sectionTop of section

資源:

您可以造訪 Microsoft 技術支援服務: 與我們連絡,填寫表格來提供意見反應。

美國及加拿大地區客戶可聯繫 Microsoft 技術支援服務以取得技術支援。 如需更多可用支援選項的資訊,請參閱 Microsoft 技術支援服務

不同國家的客戶,可以從當地的 Microsoft 分公司取得支援。 如需瞭解如何連絡 Microsoft,瞭解世界各地支援資訊,請造訪世界各地技術支援

Microsoft TechNet 資訊安全中心網站提供 Microsoft 產品安全性的其他相關資訊。

免責聲明:

本摘要報告中的資訊係以其「現狀」提供,並不提供任何形式之擔保。 Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。 無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。 某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。

修訂: 

2008 年 4 月 17 日: 摘要報告發行

2008 年 4 月 23 日: 新增 IIS 6.0 的因應措施影響之說明資訊

2008 年 9 月 02 日: 將 Windows XP Professional Service Pack 3 新增為受影響的軟體。


回到頁首回到頁首