SKY-net

22.04.2008 14:59
Текст: Павел Михайлов

Несколько дней назад компания Microsoft заявила, что исследует новые публичные отчеты об уязвимости, которая может разрешить совершенствование привилегий сервисов до LocalSystem. Потенциально уязвимыми являются Windows XP Professional Service Pack 2 и все поддерживаемые версии и издания Windows Server 2003, Windows Vista, и Windows Server 2008.

Причиной уязвимости является ошибка, позволяющая коду, работающему в контексте аккаунтов NetworkService и LocalService, получать доступ к ресурсам другого процесса, работающего с теми же самыми привилегиями, но с возможностью поднятия собственных привилегий до LocalSystem. Успешное использование этой ошибки дает возможность некоторому коду работать с привилегиями LocalSystem, но потребует способности выполнять код в аутентификационном контексте, например сквозь IIS (когда код ASP.NET функционирует в режиме “полного доверия” или сквозь расширения/фильтры ISAPI) и SQL Server (когда есть привилегии администратора на загрузку и работу кода).

По имеющейся информации, эксплоит, который будет использовать данную уязвимость, будет очень сложным и вероятность вызова им повреждений будет небольшой. Однако если учесть, что в списке потенциально жертв находится целая куча операционных систем Microsoft, включая Windows XP SP2, Windows Vista и SP1, Windows Server 2003 и Windows Server, верится в это слабо.

Microsoft подтвердила, что SQL Server и Internet Information Services – два широко используемых сетевых сервиса – также находятся среди тех сервисов, привилегии которых потенциально могут быть “повышены” таким образом. Кроме того, ошибке подвержены все процессы с SeImpersonatePrivilege.

В настоящее время компания Microsoft не подтвердила наличия атак с использованием данной ошибки. Однако пообещала, что примет все необходимые меры для защиты потребителей. Пока же пользователям предлагается три метода решения данной проблемы, в основном касающиеся ее происхождения. Все методы используют IIS 6.0 или 7.0 и приказывают администраторам создавать рабочий идентификатор процесса WPI для пулов приложений с целью использования специально созданного привилегированного аккаунта – по всей видимости, единичного и не повышаемого. Затем предлагается, дабы администраторы отключали Distributed Transaction Coordinator (MSDTC), что предположительно будет отключать сетевые транзакции от сервисов, не добавленных в пул. Однако Microsoft предупреждает, что такие действия, скорее всего, вызовут системные потери и замедлят выполнение.

www.winline.ru

Опубликовано 22.04.2008 17:00 и размещено в рубрике Мир Windows. Вы можете следить за комментариями, подписавшись на RSS 2.0 ленту этого сообщения. Комментирование закрыто.

публикации сходной тематики

• Windows Server 2008 RC0 - ссылки на загрузку
• Cisco выпустила оборудование на базе Windows Server 2008
• Virtual PC 2007 теперь поддерживает Windows Vista
• Microsoft готовит к выходу четыре патча
• Официально вышел Windows XP SP3 RC2