安全公告
Microsoft 安全公告 MS99-006 - 严重
修复了适用于 Windows NT“KnownDL 列表”漏洞的问题
发布时间: 1999 年 2 月 19 日 |更新时间:2003 年 3 月 10 日
版本: 2.0
修补程序可用性信息已更新: 2003 年 3 月 10 日
最初发布: 1999 年 2 月 19 日
更新时间: 1999 年 3 月 5 日
总结
这是 Microsoft 安全 MS99-006 的更新,该更新最初于 1999 年 2 月 19 日发布。 Microsoft 正在发布此更新公告,告知客户修补程序的可用性,并更新受影响的产品列表。
Microsoft 了解了影响所有版本的 Microsoft® Windows NT® 操作系统的漏洞,该版本可能允许用户获得计算机上的管理权限。 在最常见的使用方案中,此漏洞在工作站、终端服务器和其他系统上呈现,这些系统允许非管理用户以交互方式登录。 不太常见的配置也可能受到影响,下面对此进行了讨论。
可以通过应用更改相关操作系统对象上默认访问控制设置的热修补程序来阻止特权提升。 热修补程序可用于从 Microsoft FTP 站点下载。 Microsoft 建议以前更改注册表的客户还原原始注册表设置并改用热修补程序。
问题
在 Windows NT 中,核心操作系统 DLL 保存在虚拟内存中,并在系统上运行的程序之间共享。 这样做是为了避免在内存中使用 DLL 的冗余副本,并提高内存使用率和系统性能。 当程序调用其中一个 DLL 提供的函数时,操作系统将引用名为 KnownDLLs 列表的数据结构,以确定 DLL 在虚拟内存中的位置。 Windows NT 安全体系结构可保护内存中 DLL 免受修改,但默认情况下,它允许所有用户读取和写入 KnownDLLs 列表。 这是漏洞的根本问题。
用户可以以编程方式加载到与系统 DLL 同名的恶意 DLL 的内存中,然后将 KnownDLL 列表中的条目更改为指向恶意副本。 从这一点开始,请求系统 DLL 的程序将改为定向到恶意副本。 当由具有足够高特权的程序调用时,它可以采取任何所需的操作,例如将恶意用户添加到管理员istrators 组。
必须了解用户必须能够在计算机上运行利用代码才能提升其特权。 有两种类型的计算机存在风险:
- 允许非管理用户以交互方式登录的计算机。 工作站和终端服务器通常允许这样做,但根据标准安全做法,大多数其他服务器仅允许管理员以交互方式登录。 (即使在工作站上,也值得注意的是,大多数工作站用户已是本地计算机上的管理员)。
- 允许远程用户提交任意程序以供执行的计算机。 域控制器、业务线服务器、应用程序服务器、打印服务器和文件服务器等服务器通常不接受任意程序执行。
另请注意,特权提升的范围高度依赖于运行开发代码的特定计算机。 例如,在工作站上利用此漏洞的用户可以加入本地 管理员istrators 组,但无法直接利用此漏洞成为域管理员。 但是,在域控制器上利用此漏洞的用户将能够成为域管理员istrator,因为域 SAM 在所有域控制器之间共享。
虽然没有客户受到此特权提升漏洞的不利影响的报告,但 Microsoft 会主动提供信息,以允许客户阻止它。 热修复将 KnownDL 列表的默认权限更改为只读,建议对此漏洞采取纠正措施。 此公告的初始版本以注册表更改的形式提供了一种解决方法,用于限制用户更改系统基对象(包括 KnownDLL 列表)的能力。 尽管注册表更改更正了该问题,但它包含的系统行为范围比热修复范围更广,并且可能不适合所有系统。
受影响的软件版本
- Microsoft Windows NT 工作站 4.0
- Microsoft Windows NT Server 4.0
- Microsoft Windows NT Server 4.0,企业版
- Microsoft Windows NT Server 4.0 终端服务器版本
漏洞标识符:CVE-1999-0376
Microsoft 正在执行的操作
Microsoft 提供了一个修补程序,用于更改 KnownDL 列表的默认权限。 以下客户应执行的操作中提供了有关修补程序的信息。
Microsoft 还向订阅 Microsoft 产品安全通知服务的客户发送了此安全公告。 有关此免费客户服务的详细信息,请参阅 Microsoft 产品安全通知服务 。
Microsoft 已在此问题上发布了以下知识库(知识库(KB))文章:
- Microsoft 知识库(知识库(KB))一文218473,限制对基础系统对象的更改。
(请注意,可能需要 24 小时才能在基于 Web 的知识库中看到知识库(KB)文章的原始发布。
客户应执行的操作
Microsoft 强烈建议客户评估此漏洞对其系统构成的风险程度,并确定是否下载并安装热修补程序。 热修复会更改 KnownDL 列表的默认权限,并且是消除漏洞的建议方法。
可在以下位置找到热修补程序:
- 基于 X86 的 Windows NT 工作站和服务器 4.0(包括企业版):https://www.microsoft.com/technet/security/patchavailability.mspx
- 基于 X86 的 Windows NT Server 4.0 终端服务器版本: https://www.microsoft.com/technet/security/patchavailability.mspx
- 基于 Alpha 的 Windows NT 工作站和服务器 4.0(包括 企业版 和终端服务器版本):https://www.microsoft.com/technet/security/patchavailability.mspx
- 基于 Alpha 的 Windows NT Server 4.0 终端服务器版本: https://www.microsoft.com/technet/security/patchavailability.mspx
注册表更改
还可以通过注册表更改消除此漏洞,从而在系统基对象(如 KnownDLL 列表)上启用更强大的保护。 但是,由于此注册表更改会影响所有系统基础对象,而不仅仅是 KnownDLL 列表,因此它可能不适合所有系统。 针对此漏洞的建议修复是通过上面详述的“客户应执行的操作”中的热修复。 以前将此注册表更改用作临时解决方法的客户可能希望将其原始设置还原,并将热修补程序安装为永久解决方案。
注册表更改:
键:HKEY_LOCAL_MACHINE \System \CurrentControlSet \Control \Session Manager
名称:ProtectionMode
类型:REG_DWORD
值:1
请注意 ,错误地更改系统注册表可能会损坏系统或使其不可操作,并且用户将自行承担这些更改。 如果在进行此更改时需要帮助,请参阅下面的“获取有关此问题的支持”。
详细信息
有关此问题的详细信息,请参阅以下参考。
- Microsoft 安全公告 MS99-006,修复了适用于 Windows NT“KnownDLLs 列表”漏洞的修补程序(此公告的 Web 发布版本), https://www.microsoft.com/technet/security/bulletin/ms99-006.mspx
- Microsoft 知识库(知识库(KB))一文218473,限制对基础系统对象的更改。
- Microsoft 白皮书, 保护 Windows NT 安装,在 上提供 https://www.microsoft.com/technet/security/default.mspxhttps://www.microsoft.com/ntserver/security/exec/overview/Secure_NTInstall.asp
获取有关此问题的支持
如果需要此问题的技术支持,请联系 Microsoft 技术支持。 有关联系 Microsoft 技术支持的信息,请参阅 https:。
确认
Microsoft 希望确认 l0pht Heavy Industries (https://www.lopht.com) 发现此漏洞。
修订
- 1999 年 2 月 19 日:创建公告
- 1999 年 3 月 5 日:公告已更新
- V2.0(2003 年 3 月 10 日):引入了版本控制和更新的修补程序可用性信息
有关 Microsoft 产品的其他安全相关信息,请访问 https://www.microsoft.com/technet/security
MICROSOFT 知识 BA 中提供的信息标准版“按原样”提供,不提供任何形式的担保。 MICROSOFT 不明确或暗示所有保证,包括特定 PURPO 的适销性和适用性的保证标准版。 在任何情况下,即使 MICROSOFT 公司或其供应商有 B企业版N ADVI,也不得承担任何损害,包括直接、间接、附带、CON标准版QUENTIAL、业务利润损失或特殊损害,即使 MICROSOFT 公司或其供应商有 B企业版N ADVI标准版此类损害的可能性。 一些州不允许排除或限制 CON标准版QUENTIAL 或附带损害赔偿,因此上述限制可能不适用。
构建于 2014-04-18T13:49:36Z-07:00</https:>