Dela via

Säkerhetsbulletin

Microsoft Security Bulletin MS02-064 – Måttlig

Standardbehörigheter för Windows 2000 kan tillåta trojanska hästprogram (Q327522)

Publicerad: 30 oktober 2002 | Uppdaterad: 28 februari 2003

Version: 1.2

Ursprungligen publicerad: 30 oktober 2002

Uppdaterad: 28 februari 2003

Sammanfattning

Vem bör läsa den här bulletinen: Systemadministratörer som kör Microsoft® Windows® 2000.

Effekt av sårbarhet: Körning av trojansk hästprogram

Högsta allvarlighetsgrad: Måttlig

Rekommendation: Administratörer bör överväga att ändra åtkomstbehörigheter i windows 2000-systemets rotkatalog.

Programvara som påverkas:

  • Microsoft Windows 2000

Allmän information

Teknisk information

Teknisk beskrivning:

I Windows 2000 ger standardbehörigheterna gruppen Alla fullständig åtkomst (Alla:F) i systemrotmappen (vanligtvis C:\). I de flesta fall finns systemroten inte i sökvägen. Men under vissa förhållanden – till exempel under inloggning eller när program anropas direkt från Windows-skrivbordet via Start | Kör - det kan vara.

Den här situationen ger upphov till ett scenario som kan göra det möjligt för en angripare att montera en trojansk hästattack mot andra användare av samma system, genom att skapa ett program i systemroten med samma namn som något vanligt program, och sedan vänta på att en annan användare därefter loggar in på systemet och anropar programmet. Det trojanska hästprogrammet skulle köras med användarens egna privilegier, vilket gör det möjligt för det att vidta alla åtgärder som användaren kan vidta.

Det enklaste attackscenariot skulle vara ett scenario där angriparen visste att ett visst systemprogram anropades av ett inloggningsskript. I så fall kan angriparen skapa en trojansk häst med samma namn som systemprogrammet, som sedan skulle köras av inloggningsskriptet nästa gång någon loggade in på systemet. Andra scenarier skulle nästan säkert kräva betydligt större användarinteraktion – till exempel genom att övertyga en användare att starta ett visst program via Start | Kör - och skulle kräva användning av social ingenjörskonst.

Systemen som främst är utsatta för den här säkerhetsrisken är arbetsstationer som delas mellan flera användare och lokala terminalserversessioner. Andra system löper betydligt mindre risk:

  • Arbetsstationer som inte delas mellan användare skulle inte ha någon risk, eftersom angriparen skulle kräva möjligheten att logga in på systemet för att placera den trojanska hästen.
  • Servrar skulle inte ha någon risk, om standardmetodtips har följts som förespråkaren endast tillåter betrodda användare att logga in på dem.
  • Fjärrterminalserversessioner löper liten risk eftersom varje användares miljö är isolerad. Det vill: systemroten är aldrig den aktuella mappen – i stället är användarens dokument och Inställningar mapp, men behörigheterna i den här mappen skulle inte göra det möjligt för en angripare att placera en trojansk häst där.

Förmildrande faktorer:

  • En angripare skulle kräva möjligheten att logga in på systemet interaktivt för att placera det trojanska hästprogrammet. Det gick inte att fjärransluta den
  • Som vi nämnt ovan skulle dedikerade arbetsstationer, servrar och fjärrterminalserversessioner vara mindre utsatta (eller i vissa fall inga alls) från säkerhetsrisken.

Allvarlighetsgrad:

Internetservrar Intranätservrar Klientsystem
Windows 2000 Låg Låg Medel

Ovanstående utvärdering baseras på de typer av system som påverkas av sårbarheten, deras typiska distributionsmönster och den effekt som sårbarheten skulle ha på dem.

Sårbarhetsidentifierare:CAN-2002-1184

Testade versioner:

Microsoft har testat Windows NT, Windows 2000 och Windows XP för att bedöma om de påverkas av den här säkerhetsrisken.

Vanliga frågor och svar

Vad är omfattningen av säkerhetsrisken?
Detta är en trojansk häst sårbarhet. En angripare som lyckades utnyttja den här sårbarheten kan placera ett program i ett system som vid ett senare tillfälle kan köras av en annan användare av misstag. Programmet skulle köras med de privilegier som är associerade med användaren och kan vidta alla åtgärder som användaren kan vidta, inklusive inläsning och körning av program, ändring av data i systemet, omformatering av hårddisken och så vidare. I de flesta fall skulle det inte vara en enkel uppgift att utnyttja sårbarheten, utan i stället kräva åtminstone viss social ingenjörskonst från angriparens sida. Dessutom påverkar sårbarheten inte alla system på samma sätt. I stället skulle arbetsstationer som delas mellan användare ha störst risk, och servrar – inklusive terminalservrar – skulle vanligtvis ha betydligt mindre risk.

Vad orsakar sårbarheten?
Sårbarhetsresultatet beror på en kombination av två faktorer: standardbehörigheterna för systemrotmappen och sökvägen som Windows använder när program hittas. Den förra skulle göra det möjligt för en angripare att placera ett trojanskt hästprogram i systemet; det senare kan leda till att den oavsiktligt körs av en efterföljande användare i systemet.

Vad är systemrotmappen och vad gör den?
Systemrotmappen är den översta mappen på enheten som innehåller operativsystemet (vanligtvis C:\). Det primära syftet med systemroten är att tillhandahålla en logisk "fästpunkt" för filsystemet – en referenspunkt från vilken andra filer och mappar kan finnas. Inga känsliga filer lagras där som standard.

Vilka är standardbehörigheterna för systemroten?
Standardbehörigheterna är Alla fullständig åtkomst. Detta gör att alla användare som kan logga in på systemet kan läsa filer som finns på systemroten, skriva nya filer där (eller ändra befintliga) eller köra program som finns där.

Varför utgör standardbehörigheterna en säkerhetsrisk om det inte finns några känsliga filer som lagras i systemroten?
Orsaken har att göra med hur Windows hittar program. I ett nötskal finns det fall där systemroten kan bli den första platsen som systemet letar efter när man söker efter ett program. Om en angripare tidigare hade skapat ett program, gett det samma namn som ett program som ofta efterfrågas och placerat det i systemroten, kan angriparens program – i stället för det legitima programmet – köras.

Hur hittar Windows program?
Om ett program anropas med en absolut sökväg – det vill säga om anroparen anger programmets exakta plats – kontrollerar Windows den platsen och endast den platsen och returnerar ett fel om programmet inte hittas där. Men om endast namnet på programmet har angetts kommer Windows att genomföra en sökprocess för att hitta och köra det. Först kontrollerar den i den så kallade aktuella mappen , det vill säga vilken mapp användaren (eller anropar programmet) råkar arbeta i vid den tidpunkten - och kontrollerar sedan de mappar som anges i en miljövariabel med namnet %PATH%. Det är det andra fallet som spelar en roll i den här sårbarheten. Mer specifikt finns det fall där systemroten kan bli den aktuella mappen. När detta händer är systemroten det första stället som Windows söker efter program. Om ett program i systemroten under dessa omständigheter hade samma namn som till exempel ett legitimt systemprogram, skulle det falska programmet ha företräde i sökordningen och köras i stället för systemfilen.

Under vilka omständigheter är systemroten även den aktuella mappen?
Det går inte att ge ett heltäckande svar eftersom det i viss mån beror på hur systemet konfigureras. Två exempel på omständigheter där detta inträffar i standardkonfigurationer är dock:

  • Vid systemstart. När inloggningsskript körs är systemroten den aktuella mappen.
  • När du startar program från Windows-skrivbordet. Om ett program till exempel startas med hjälp av Start | Kör kommandot eller om Aktivitetshanteraren startas via ctrl-alt-del-sekvensen är systemroten den aktuella mappen.

Det är värt att påpeka att ovanstående inte är sant när det gäller en fjärrterminalserversession. Terminal Server isolerar varje användares session, så i de fall som nämns ovan är den aktuella mappen användarens egna dokument och Inställningar mapp i stället för systemroten.

Vad kan en angripare göra via den här säkerhetsrisken?
En angripare som hade möjlighet att logga in på ett system som delas med andra användare kunde placera ett program i systemroten, i hopp om att en efterföljande användare oavsiktligt skulle köra det. Angriparens program, om det körs, skulle göra det med användarens egna privilegier och skulle kunna göra allt som användaren kan göra. Attacken skulle sannolikt fortsätta enligt följande linjer:

  • Angriparen skulle logga in på systemet och identifiera ett program som han eller hon trodde att andra användare skulle anropa. I illustrationssyfte antar vi att programmet heter x.exe.
  • Angriparen skulle skapa ett fientligt program, namnge det x.exe och placera det i systemroten.
  • Vid något senare tillfälle kan en annan användare logga in på systemet och anropa x.exe. Om detta skedde under en tid då systemroten var den aktuella mappen skulle angriparens version av x.exe i stället för den legitima versionen köras.

Vem kan utnyttja sårbarheten?
För att utnyttja säkerhetsrisken skulle angriparen behöva giltiga inloggningsuppgifter i systemet – den trojanska hästen kunde inte förplaceras via fjärranslutning. Det räcker dock inte att bara placera filen i systemet. För att programmet ska kunna köras skulle angriparen också behöva ett sätt att få användaren att anropa det.

Hur kan angriparen få användaren att anropa det trojanska hästprogrammet?
Det enklaste scenariot skulle vara ett scenario där angriparen visste att ett inloggningsskript skulle köras när som helst som en användare loggade in på systemet och skulle anropa ett visst systemprogram. I det här fallet kan angriparen helt enkelt ge det trojanska hästprogrammet ett matchande namn och vänta tills en annan användare loggar in. Andra scenarier skulle vara svårare att utföra och kräver nästan säkert en betydande grad av social ingenjörskonst. Angriparen kan till exempel försöka skapa ett scenario där användaren sannolikt anropar ett visst program via Start | Kör kommandot, öppna Aktivitetshanteraren via ctrl-alt-del och så vidare.

Du sa att systemroten är den aktuella mappen för Windows-skrivbordet. Betyder det att om du klickar på en ikon på skrivbordet kan det leda till att en trojansk häst körs?
Nej. Skrivbordsikoner använder i nästan alla fall ett absolut sökvägsnamn för att referera till de program som de är associerade med. Som beskrivs ovan, när en absolut sökväg används för att anropa ett program, kommer sökvägen aldrig att spela in.

Vilka system löper stor risk av sårbarheten?
Delade arbetsstationer är långt ifrån de mest sannolika systemen som påverkas av den här sårbarheten, men terminalservrar kan också vara i riskzonen om användaren loggar in lokalt i stället för via en fjärrsession. Anledningen till detta kan ses enklast genom en elimineringsprocess.

  • Arbetsstationer som inte delas riskerar inte att drabbas av säkerhetsrisken. Sårbarheten kan bara utnyttjas om angriparen kan plantera den trojanska hästen och sedan övertala en annan användare att logga in på samma dator.
  • Servrar tenderar att utsättas för mindre risk om standardsäkerhetsmetoder har följts och endast betrodda användare får logga in på dem. Utan möjligheten att logga in på systemet interaktivt skulle en angripare inte ha något sätt att placera den trojanska hästen.
  • Fjärrterminalserversessioner skulle också ha betydligt mindre risk eftersom varje användares session är isolerad. Det innebär att systemroten aldrig blir den aktuella mappen – användarens dokument och Inställningar mapp gör det, men behörigheter på den mappen tillåter inte att någon annan än användaren och systemadministratören skriver till den.

Påverkar sårbarheten Windows NT 4.0?
I Windows NT 4.0 är alla mappar – inte bara systemroten – som standard allas fullständiga åtkomst. Som ett resultat, även om det skulle vara möjligt för en angripare att montera en trojansk hästattack genom samma scenario som beskrivs ovan, skulle det vara enklare för honom eller henne att helt enkelt skriva över systemfiler direkt. Men behovet av att konfigurera behörigheterna för Windows NT 4.0-system på lämpligt sätt är välkänt för de flesta systemadministratörer och beskrivs i Microsofts säkerhetschecklistor för Windows NT 4.0 samt de flesta guider från tredje part.

Påverkar sårbarheten Windows XP?
I de flesta fall, nej. Standardbehörigheterna för systemroten i Windows XP tillåter endast läsåtkomst. Det enda fallet där detta inte är sant är om ett Windows 2000-system uppgraderas till Windows XP – i det här fallet behålls de befintliga behörigheterna för alla mappar, inklusive systemroten. Men även då skulle sårbarheten vara svår att utnyttja eftersom den aktuella katalogen för Windows XP-skrivbordet är användarens dokument och Inställningar mapp, snarare än systemroten.

Varför finns det ingen korrigering för den här säkerhetsrisken?
En korrigering är helt enkelt inte praktisk för det här fallet. Rätt behörigheter varierar från organisation till organisation och kan bero på faktorer som de specifika program som används. Alla behörigheter som anges av en korrigering skulle nästan säkert behöva justeras i många fall, och därför tror vi att det mest effektiva sättet att åtgärda problemet är att systemadministratörer anger de behörigheter som är rätt för deras organisationer.

Vad är en bra baslinjeuppsättning med behörigheter?
Standardbehörigheterna för Windows XP kan fungera som en guide för en uppsättning behörigheter som har utformats och testats noggrant. Standardbehörigheterna för rotkatalogen på systemenheten för Windows XP är:

  • Administratörer: Fullständig kontroll
  • Skapare: Fullständig kontroll (undermappar och filer)
  • System: Fullständig kontroll
  • Användare: Läs och kör (den här mappen, undermappar och filer)
  • Användare: Skapa mappar/lägga till data (den här mappen och undermappar)
  • Användare: Skapa filer/skriva data (endast undermappar)
  • Alla: Läs och kör

Kan jag använda säkerhetsmallar för att tillämpa de nya behörigheterna?
Ja. Kunder som använder en säkerhetsmall kan lägga till följande i avsnittet [Filsäkerhet] för att ange att behörigheterna ska vara samma som för Windows XP (detta bör läggas till som en enda rad i säkerhetsmallen, inga radbrytningar).

"%SystemDrive%\",0,"D:AR(A;OICI;GA;;;BA)(A;OICI;GA;;;SY)(A;OICIIO;GA;;;CO)(A;CIOI;GRGX;;;BU)(A;CI;0x00000004;;;BU)(A;CIIO;0x00000002;;;BU)(A;;GRGX;;;WD)"

Korrigeringstillgänglighet

Ladda ned platser för den här korrigeringen

  • Den här säkerhetsrisken kräver en administrativ procedur snarare än en korrigering. De ändringar som behövs beskrivs i vanliga frågor och svar.

Ytterligare information om den här korrigeringen

Installationsplattformar:

Den här behörighetsändringen kan göras på system som kör valfri version av Windows 2000.

Varningar:

Ingen

Hämta andra säkerhetskorrigeringar:

Korrigeringar för andra säkerhetsproblem är tillgängliga från följande platser:

  • Säkerhetskorrigeringar är tillgängliga från Microsoft Download Center och kan hittas enklast genom att göra en nyckelordssökning efter "security_patch".
  • Korrigeringar för konsumentplattformar är tillgängliga från Webbplatsen WindowsUpdate

Övrig information:

Erkännanden

Microsoft tackar Jason Miller från Security Focus (https://www.securityfocus.com) för att ha rapporterat det här problemet till oss och arbetat med oss för att skydda kunder.

Support:

  • Microsoft Knowledge Base-artikeln Q327522 diskuterar det här problemet och kommer att vara tillgänglig cirka 24 timmar efter lanseringen av den här bulletinen. Kunskapsbasartiklar finns på webbplatsen för Microsoft Online Support .
  • Teknisk support är tillgänglig från Microsoft Product Support Services. Det kostar inget för supportsamtal som är associerade med säkerhetskorrigeringar.

Säkerhetsresurser: Webbplatsen Microsoft TechNet Security innehåller ytterligare information om säkerhet i Microsoft-produkter.

Friskrivning:

Informationen som tillhandahålls i Microsoft Knowledge Base tillhandahålls "som den är" utan garanti av något slag. Microsoft frånsäger sig alla garantier, antingen uttryckliga eller underförstådda, inklusive garantier för säljbarhet och lämplighet för ett visst syfte. Under inga omständigheter ska Microsoft Corporation eller dess leverantörer vara ansvariga för eventuella skador, inklusive direkta, indirekta, tillfälliga, följdskador, förlust av företagsvinster eller särskilda skador, även om Microsoft Corporation eller dess leverantörer har informerats om risken för sådana skador. Vissa stater tillåter inte undantag eller begränsning av ansvar för följdskador eller oförutsedda skador, så den föregående begränsningen kanske inte gäller.

Revideringar:

  • V1.0 (30 oktober 2002): Bulletin skapad.
  • V1.1 (27 november 2002): Förtydligade informationen om säkerhetsmallen.
  • V1.2 (28 februari 2003): Windows XP-basbehörigheter har uppdaterats i avsnittet Vanliga frågor och svar.

Byggd 2014-04-18T13:49:36Z-07:00