安全公告

Microsoft 安全公告 MS00-070 - 严重

可用于多个 LPC 和 LPC 端口漏洞的修补程序

发布时间： 2000 年 10 月 3 日

版本： 1.0

最初发布： 2000 年 10 月 3 日

总结

Microsoft 发布了一个修补程序，可消除 Microsoft® Windows NT® 4.0 和 Windows® 2000 中的多个安全漏洞。 这些漏洞可能允许一系列影响，从拒绝服务攻击到在某些情况下特权提升。

受影响的软件：

• Microsoft Windows NT 4.0 工作站
• Microsoft Windows NT 4.0 Server
• Microsoft Windows NT 4.0 Server，企业版
• Microsoft Windows NT 4.0 Server， Terminal Server Edition
• Microsoft Windows 2000 Professional
• Microsoft Windows 2000 Server
• Microsoft Windows 2000 高级服务器
• Microsoft Windows 2000 Datacenter Server

常规信息

技术详细信息

技术说明：

在 LPC 和 LPC 端口的 Windows NT 4.0 和 Windows 2000 实现中发现了几个漏洞：

• “LPC 请求无效”漏洞，仅影响 Windows NT 4.0。 通过征收无效的 LPC 请求，可能会使受影响的系统失败。
• 影响 Windows NT 4.0 和 Windows 2000 的“LPC 内存耗尽”漏洞。 通过征收虚假的 LPC 请求，可以将排队的 LPC 消息数增加到内核内存耗尽的点。
• 影响 Windows NT 4.0 和 Windows 2000 的“可预测 LPC 消息标识符”漏洞。 知道 LPC 消息标识符的任何进程都可以访问它;但是，可以预测标识符。 最简单的情况是，恶意用户可以访问其他进程的 LPC 端口，并将其作为拒绝服务攻击馈送随机数据。 在最坏的情况下，在某些情况下，可以将虚假请求发送到特权进程，以便获得额外的本地特权
• 以前报告的 “欺骗 LPC 端口请求” 漏洞的新变体。 此漏洞影响 Windows NT 4.0 和 Windows 2000，在一组非常受限的情况下，允许恶意用户创建一个进程，该进程将在已运行的进程的安全上下文下运行，这可能包括系统进程。

由于 LPC 只能在本地计算机上使用，因此无法远程利用这些漏洞。 相反，恶意用户只能在可以交互登录的计算机上利用它们。 通常，工作站和终端服务器主要面临风险，因为，如果遵循了正常的安全做法，则不允许普通用户以交互方式登录到关键服务器。 这也意味着，即使在最坏的情况下，该漏洞只会授予恶意用户的附加本地权限，而不是域权限。

常见问题解答

此公告的内容是什么？
Microsoft 安全公告 MS00-070 宣布了修补程序的可用性，该修补程序可消除 Microsoft® Windows NT® 4.0 和 Windows® 2000 中的多个漏洞。 Microsoft 致力于保护客户的信息，并提供公告，告知客户有关漏洞及其可执行的操作。

漏洞的范围是什么？
此处讨论的漏洞分为两个主要组。

• 其中一些漏洞将启用 拒绝服务 攻击，这些攻击可能导致受影响的系统失败。
• 其他人通过模拟其他用户或系统进程，使恶意用户能够在计算机上获得不必要的特权。 在后一种情况下，这可能允许恶意用户执行 特权提升 攻击并获取计算机上的管理权限。

这些漏洞只能用于攻击恶意用户可以以交互方式登录的计算机。 因此，主要面临风险的计算机是工作站和终端服务器等计算机-如果遵循了正常的安全预防措施，则安全关键型服务器将不允许普通用户以交互方式登录它们。

导致漏洞的原因是什么？
由于 Windows NT 4.0 和 Windows 2000 中 LPC 和 LPC 端口实现存在两个缺陷，导致漏洞。

• Windows NT 4.0 实现无法正确处理某些进程的行为不符合预期的情况。 如果进程按无效顺序发出 LPC 请求或使用无效参数，则可能会导致系统失败。
• 在 Windows NT 4.0 和 Windows 2000 中识别 LPC 端口的方法是可预测的，这可以允许一个进程访问属于另一个进程的 LPC 端口。

什么是 LPC？
LPC（本地过程调用）是由 Windows NT 4.0 和 Windows 2000 提供的消息传递服务，允许线程和进程相互通信。 每当客户端进程需要从服务器进程请求服务时，必须有一种方法让这两个进程相互通信，也就是说，客户端进程必须有一种方法才能发出服务器请求、服务器向客户端发送响应，以及每个进程确定其相互状态。 当客户端和服务器进程位于不同的计算机上时，将使用 RPC（远程过程调用）。 当它们位于同一台计算机上时，可以使用 LPC。 使用 LPC 的优点是它很快。 由于流程位于同一台计算机上，因此可以提高某些效率来加快通信速度。 例如，在 LPC 下，这两个进程可以通过共享内存段进行通信，而不是相互传递消息，一个进程将消息放入共享段中，并向另一方发送信号，然后从共享段读取消息。

什么是 LPC 端口？
每个 LPC 都有一组称为 LPC 端口的通信通道。 每个端口具有一种类型的通信 - 例如，LPC 将始终具有一个端口，该端口用于允许一个客户端将消息发送到服务器，另一个端口允许服务器向每个客户端发送消息，以及允许进程内的线程协调其请求的其他端口。

LPC 和 LPC 端口实现有什么问题？
如上面“是什么原因导致这些漏洞？”中所述，LPC 和 LPC 端口实现存在两个总体问题。 这些问题导致以下四个特定漏洞，下面讨论的长度更大：

• “LPC 请求无效”漏洞。
• “LPC 内存耗尽”漏洞。
• “可预测 LPC 消息标识符”漏洞。
• 以前报告的 “欺骗 LPC 端口请求” 漏洞的新变体。

“LPC 请求无效”漏洞是什么？
LPC 的 Windows NT 4.0 实现无法正确处理某些调用无序或没有预期参数的情况。 如果恶意用户创建了发出此类调用的进程，则可能会导致系统失败。

此漏洞是否会影响 Windows 2000？
否。 它仅影响 Windows NT 4.0

恶意用户可能通过此漏洞攻击哪些计算机？
由于它涉及 LPC 机制，他只能攻击一台计算机，他可以通过交互方式登录。 此漏洞不能用于攻击远程计算机。

为什么恶意用户想要崩溃他正在使用的计算机？
在大多数情况下，他崩溃自己的机器会适得其反。 例如，如果恶意用户利用工作站上的此漏洞，则损害完全是自我造成的，只会影响他。 但是，如果他可以通过交互方式登录到多个用户之间共享的计算机，他可能会选择将其作为拒绝对其他用户的服务攻击而失败。 终端服务器在这里主要面临风险，因为通常允许普通用户以交互方式登录它们。 如果安全最佳做法（如允许非特权用户以交互方式登录这些服务器），其他服务器（如域控制器、打印/文件服务器、ERP 服务器、数据库服务器和其他服务器）不太可能成为此类攻击的目标。

受影响的计算机如何重新投入服务？
计算机可以通过重新启动计算机重新投入使用。

修补程序如何消除此漏洞？
修补程序通过导致 Windows NT 4.0 LPC 实现拒绝此处发出的请求来消除漏洞。 这是适当的响应，因为请求无效。

什么是“LPC 内存耗尽”漏洞？
LPC 的 Windows NT 4.0 和 Windows 2000 实现都从名为 LPC 区域的池中分配消息存储内存。 每当消息量超过 LPC 区域的容量时，会将额外的内存从内核转移到 LPC 区域。 根据设计，当不再需要此内存时，应将此内存返回到内核内存。 但是，通过发送特定类型的格式不正确的 LPC 请求，可以阻止这种情况发生。 这将提供恶意用户通过转移部分或全部内核内存来减缓或停止系统性能的机会。

哪些计算机会面临此漏洞的风险？
终端服务器主要面临风险，原因类似于上面讨论的“无效 LPC 请求”漏洞的原因。 恶意用户对自己的工作站装载拒绝服务攻击没有什么好处，如果遵循安全最佳做法，他将无法以交互方式登录到安全关键服务器。

受影响的计算机如何重新投入服务？
管理员可以通过重新启动计算机将计算机返回到正常服务。

修补程序如何消除此漏洞？
该修补程序通过确保请求进程不再需要它后立即还原转移到 LPC 区域的所有内核内存来消除漏洞。

什么是“可预测 LPC 消息标识符”漏洞？
在 LPC 的 Windows NT 4.0 和 Windows 2000 实现中，任何知道 LPC 消息标识符的进程都可以使用它。 漏洞结果，因为可以预测标识符。 这将允许进程干扰属于另一个进程的 LPC 通信。

这会允许恶意用户执行哪些操作？
该漏洞将使恶意用户能够装载三种类型的攻击：

• 拒绝服务。 在最简单的情况下，流氓进程可能会构成客户端或服务器，并只是将随机数据发送到它们，作为导致客户端或服务器失败的一种方式。
• 窃听。 如果客户端和服务器将内存段作为消息传递机制联合共享，恶意进程可以查看存储在那里的数据。
• 特权提升。 如果恶意用户能够识别具有与特权线程的现有 LPC 连接的系统进程，他可能会欺骗客户端，并发出他否则无法发出的请求。 他可以采取的具体行动将取决于正在运行的进程，以及允许他做什么。

哪些计算机会面临此漏洞的风险？
终端服务器主要面临通过此漏洞拒绝服务攻击的风险，原因与上述“LPC 请求无效”和“LPC 内存耗尽”漏洞类似。 如果装载在终端服务器上，窃听攻击也可能最有效，因为它可能允许恶意用户窃听其他用户的进程。 如果此漏洞被利用为特权提升攻击，则终端服务器和工作站都是主要目标。 但是，根据正常安全做法，不允许普通用户登录这些服务器不受此漏洞影响，而不管它是否被利用为拒绝服务、窃听或特权提升攻击。 如果恶意用户无法以交互方式登录到计算机，则他无法利用漏洞。

恶意用户可以通过此攻击获得哪些特权？
这取决于计算机上运行的特定进程，以及他们可以授予的特权类型。 该漏洞不提供启动所需进程的方法，因此恶意用户需要找到他可能颠覆的已运行的进程。 不过，即使在最坏的情况下，此漏洞也只会允许提升本地计算机上的特权。 也就是说，如果恶意用户利用工作站上的漏洞，他可能会获得工作站上的特权，但他无法使用此漏洞直接提升其域特权。

修补程序的作用是什么？
当请求者不是消息的所有者时，修补程序会消除漏洞，导致 LPC 消息拒绝请求。

“欺骗 LPC 端口请求”漏洞的新变体是什么？
最初在 Microsoft 安全公告 MS00-003 中讨论的“欺骗 LPC 端口请求”漏洞涉及恶意用户创建客户端和服务器进程的能力，然后通过操作 LPC 请求，导致他们在提升的安全上下文中运行（可能是系统本身）。 即使应用了 MS00-003 中提供的修补程序，新变体也提供了一种利用漏洞的方法。 但是，新变体对可以利用该变体的情况有一些重大限制。

有哪些限制？
有两个限制：

• 新变体不允许恶意用户导致其进程在任何所需的安全上下文中运行。 相反，它只允许新进程模拟计算机上已运行的进程之一，并且仅当恶意用户可以预测其 LPC 端口标识符时。
• 仅当恶意用户在目标进程发出特定 LPC 调用的同时发出模拟请求时，才能利用该漏洞。 但是，恶意用户无法知道何时发生此类呼叫。

哪些计算机会面临此漏洞的风险？
终端服务器和工作站将是主要目标。 根据正常安全做法，不允许普通用户登录这些服务器不受此漏洞影响。 如上所述，如果恶意用户无法以交互方式登录到计算机，则他无法利用漏洞。

恶意用户可以通过此攻击获得哪些特权？
这取决于计算机上运行的特定进程。 该漏洞不提供启动所需过程的方法。 在任何情况下，此漏洞仅允许提升本地计算机上的特权。 也就是说，如果恶意用户利用工作站上的漏洞，他可以在工作站上获得特权，但他无法使用它直接提升其域特权。

修补程序的作用是什么？
该修补程序通过调节进程模拟特权进程的能力来消除漏洞。

在哪里可以获取修补程序？
安全公告的“修补程序可用性”部分提供了修补程序的下载位置。

如何实现使用修补程序？
知识库文章包含将修补程序应用到站点的详细说明。

如何判断是否正确安装了修补程序？
知识库文章Q266433提供了修补程序包中文件的清单。验证是否已正确安装修补程序的最简单方法是验证计算机上是否存在这些文件，并具有相同的大小和创建日期，如知识库(KB)文章中所示

Microsoft 对此有何操作？

• Microsoft 提供了一个可消除漏洞的修补程序。
• Microsoft 提供了一份 安全公告 和本常见问题解答，可让客户详细了解漏洞和消除漏洞的过程。
• Microsoft 已将安全公告的副本发送给所有订阅者到 Microsoft 产品安全通知服务，这是一项免费的电子邮件服务，客户可以使用该服务随时了解 Microsoft 安全公告。
• Microsoft 发布了一 篇知识库文章 ，其中更详细地介绍了漏洞和过程。

在哪里可以找到有关安全性的最佳做法的详细信息？
Microsoft TechNet 安全 网站是获取有关 Microsoft 安全性的信息的最佳位置。

如何实现获得此问题的技术支持？
Microsoft 产品支持服务可以协助解决此问题或任何其他产品支持问题。

修补程序可用性

下载此修补程序的位置

• Microsoft Windows NT 4.0 工作站、服务器和服务器，企业版：

  https://www.microsoft.com/download/details.aspx?FamilyId=F0521C62-34ED-4A35-8EE8-27FA09C37B94&displaylang;=en

• Microsoft Windows NT 4.0 服务器，终端服务器版本：

  即将发布

• Microsoft Windows 2000 Professional、Server、Advanced Server 和 Datacenter Server：

  https://www.microsoft.com/download/details.aspx?FamilyId=E89867ED-D89E-457F-8C2C-449DF553077D&displaylang;=en

  注意： 可以在运行 Service Pack 6a 的系统上安装 Windows NT 4.0 修补程序，并将包含在 Service Pack 7 中。 Windows 2000 修补程序可以安装在具有 Service Pack 1 或没有 Service Pack 1 的系统上，并将包含在 Service Pack 2 中。

有关此修补程序的其他信息

安装平台：有关此问题的详细信息， 请参阅以下参考。

• Microsoft 知识库（知识库(KB)）一文Q266433 https：

其他信息：

确认

Microsoft 感谢 BindView 的 Razor 团队向我们报告这些问题并帮助我们保护客户。 这些漏洞所涉及的问题需要几个月的详细工程，BindView 在整个过程中与我们密切合作。 我们希望感谢他们对负责任的报告做法的持续承诺。

支持： 这是完全支持的修补程序。 有关联系 Microsoft 产品支持服务的信息，请参阅 </https：>https：。

安全资源：Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。

免责声明：

Microsoft 知识库中提供的信息“按原样”提供，不提供任何形式的担保。 Microsoft 不明确或暗示所有保证，包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下，Microsoft Corporation 或其供应商都应对任何损害负责，包括直接、间接、附带、后果性、业务利润损失或特殊损害，即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任，因此上述限制可能不适用。

修改：

• 2000 年 10 月 3 日：已创建公告。

构建于 2014-04-18T13：49：36Z-07：00</https：>