通过

安全公告

Microsoft 安全公告 MS01-036 - 严重

通过 SSL 通过 LDAP 公开的函数可以更改密码

发布时间: 2001 年 6 月 25 日 |更新时间:2003 年 2 月 28 日

版本: 1.2

最初发布: 2001 年 6 月 25 日
更新时间: 2003 年 2 月 28 日

总结

谁应该阅读此公告: 
使用 Microsoft® Windows® 2000 的系统管理员。

漏洞的影响: 
特权提升。

建议: 
当前通过 SSL 会话提供 LDAP 的客户应立即应用修补程序。

受影响的软件:

  • Microsoft Windows 2000

常规信息

技术详细信息

技术说明:

此漏洞涉及仅当 LDAP 服务器配置为通过 SSL 会话支持 LDAP 时才可用的 LDAP 函数,其用途是允许用户更改目录主体的数据属性。 根据设计,该函数应在完成请求之前检查用户的授权;但是,它包含一个错误,仅当目录主体是域用户且数据属性是域密码时,该函数才会检查请求者的权限,因此用户可能会更改任何其他用户的域登录密码。

攻击者可以通过阻止其他用户登录或登录用户帐户并获取用户拥有的任何权限,从而更改另一个用户的密码,以便出于以下两个目的之一而更改其密码:阻止其他用户登录,从而导致拒绝服务。 显然,最严重的情况是攻击者更改了域管理员的密码并登录到管理员帐户。

根据设计,任何能够连接到 LDAP 服务器的用户都可以调用受影响的函数,包括通过匿名会话进行连接的用户。 因此,与受影响的服务器建立连接的任何用户都可能会利用漏洞。

缓解因素:

  • 除非管理员在 LDAP 服务器上安装了数字证书,否则无法通过 SSL 会话执行 LDAP。 因此,Windows 2000 的默认安装不受此漏洞的影响。
  • 如果防火墙配置为阻止 tcp 端口 636,则外部用户无法利用漏洞。
  • 此漏洞不能用于更改单个计算机上的本地用户帐户的密码。

漏洞标识符:CAN-2001-0502

测试的版本:

Microsoft 测试了 Windows 2000 和 Windows NT® 4.0,以评估它们是否受这些漏洞的影响。 以前的版本不再受支持,可能会或不受这些漏洞的影响。

常见问题解答

漏洞的范围是什么?
此漏洞可能使攻击者能够更改 Windows 2000 域中用户(包括域管理员)的密码。 这可以用于以下两个目的之一:防止用户登录到域,或允许攻击者登录到其他用户的帐户。 此漏洞受几个重大约束的约束:

  • 只能通过 SSL 会话通过 LDAP 来利用它,但仅当 LDAP 服务器已专门配置为支持 LDAP over SSL 时,才能使用此类会话。 默认的 Windows 2000 LDAP 服务器不会受到此漏洞的影响。
  • 如果遵循了正常的防火墙做法,Internet 用户将无法利用此漏洞来对抗企业网络。
  • 该漏洞只能用于更改域用户帐户的密码。 它不能用于更改单个计算机上的本地用户帐户密码。

导致漏洞的原因是什么?
由于 Windows 2000 中通过 SSL 通过 LDAP 公开的函数存在缺陷,因此漏洞会导致漏洞。 该缺陷可能使攻击者能够修改用户对象的密码属性。

什么是 LDAP?
LDAP(轻型目录访问协议)是一种行业标准协议,它使授权用户能够审讯或修改元目录中的数据。 例如,在 Windows 2000 中,LDAP 是用于访问 Active Directory 中的数据的一种协议。

通过 SSL 通过 LDAP 意味着什么?
在 Windows 2000 中,可以通过不安全的会话或受保护的 SSL 会话来征收 LDAP 请求。 某些函数仅在安全会话上可用。 此漏洞中涉及的函数就是这样的函数;因此,只有在域的 LDAP 服务器上提供 LDAP over SSL 时,才能利用漏洞。

LDAP 是否默认通过 SSL 提供?
否。 在 LDAP 服务器可以参与 SSL 会话之前,管理员必须已获取数字证书并将其安装在服务器上。 除非已执行此操作,否则无法利用基于 SSL 的 LDAP,并且无法利用漏洞。 这意味着 Windows 2000 的默认安装不会受到此漏洞的威胁。 但是,我们建议那些认为他们可能会选择在将来提供 LDAP over SSL 服务的客户应用修补程序作为保障。

包含漏洞的函数有什么问题?
此函数旨在允许修改目录中存储的数据。 但是,它应受与每个特定数据段关联的访问控制的约束。 漏洞的原因是修改一个数据属性(与用户关联的密码属性)时,它无法正确检查权限,并且只是处理请求。 这可能导致攻击者滥用函数并更改其他用户的域密码。

漏洞会使攻击者能够执行哪些操作?
获得更改其他用户的域密码的能力会让攻击者执行以下两项操作之一。 她可以将这些值更改为一些未知值,只是为了防止帐户的所有者登录。 另一方面,她可以更改密码,然后登录到该帐户,以获取与该帐户关联的特权。

攻击者是否可以更改域管理员的密码?
是的。 显然,这是漏洞构成的最严重风险。 如果攻击者更改了域管理员的密码,她可以登录到管理员的帐户并获取域的管理控制权。

攻击者需要哪些权限才能利用漏洞?
包含漏洞的函数可由任何用户(甚至不是域成员)调用。 因此,几乎任何与受影响服务器位于防火墙同一端的用户都可以利用该漏洞。 但是,只要防火墙阻止 tcp 端口 636,防火墙外部的用户将无法利用该漏洞。

漏洞是否可用于更改单个计算机上的本地帐户的密码?
否。 单个计算机上的本地用户帐户不存储在目录中,并且无法通过 LDAP 进行更改。 只能通过此漏洞更改域帐户密码。

我正在运行 Windows NT 4.0。 我是否受漏洞影响?
否。 只有 Windows 2000 系统受到影响,即使仅当通过 SSL 提供 LDAP 服务时也是如此。

我运行的是 Windows 2000。 应将修补程序应用到哪些计算机?
仅需要安装 Windows 2000 服务器,甚至仅在服务器上通过 SSL 提供 LDAP。

修补程序的作用是什么?
修补程序通过确保受影响的函数仅允许用户更改有权更改的数据属性来消除漏洞。

修补程序可用性

下载此修补程序的位置

有关此修补程序的其他信息

安装平台:

此修补程序可以安装在运行此修补程序的系统上,可以在运行 Windows 2000 Service Pack 1Service Pack 2 的系统上安装。

包含在将来的 Service Pack 中:

此问题的修补程序将包含在 Windows 2000 Service Pack 3 中。

需要重新启动:

取代的修补程序:

此修补程序取代了 Microsoft 安全公告 MS01-024 中提供的修补程序。

验证修补程序安装:

  • 若要验证是否已在计算机上安装修补程序,请确认计算机上已创建以下注册表项:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows 2000\SP3\Q299687。

  • 若要验证各个文件,请使用以下注册表项中提供的日期/时间和版本信息:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows 2000\SP3\Q299687\Filelist。

注意:

本地化

可从标题为“修补程序可用性”的部分中列出的下载位置获取此修补程序的本地化版本。

获取其他安全修补程序:

可从以下位置获取其他安全问题的修补程序:

  • 安全修补程序可从 Microsoft 下载中心获取,可通过执行关键字 (keyword)搜索“security_patch”来轻松找到。
  • WindowsUpdate 网站提供了使用者平台的修补程序

其他信息:

确认

Microsoft 感谢 Entrigue Systems Inc.总裁 Jon McDonald(https://www.entrigue.net)向我们报告此问题,并与我们合作保护客户。

支持

  • Microsoft 知识库文章Q299687讨论此问题,将在发布本公告后大约 24 小时可用。 可以在 Microsoft Online 支持网站上找到知识库文章。
  • Microsoft 产品支持服务提供技术支持。 与安全修补程序关联的支持调用不收取任何费用。

安全资源:Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。

免责声明

Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。

修改:

  • V1.0(2001 年 6 月 25 日):公告已创建。
  • V1.1(2001 年 7 月 9 日):公告更新为建议修补程序取代 MS01-024 中提供的修补程序。
  • V1.2(2003 年 2 月 28 日):更新了常见问题解答部分中的链接。

生成于 2014-04-18T13:49:36Z-07:00