近日,微软警告说,Windows 2000和NT 4.0服务器操作系统的用户域验证方式存在漏洞,可导致某个拥有系统管理者权限的用户将其权限扩展至其它域。
微软在一份安全报告中指出,尽管利用该漏洞“极其困难”,但是,由它而引发的结果却“非常严重”,微软建议,考虑到物理和人为安全因素上可能存在的危险,系统管理员应安装补丁程序。
微软称,该漏洞出现在Windows 2000和NT4.0环境下各网络域之间的委托关系中,委托域没能核实受托域是否真正有权处理验证数据中的所有SID(安全识别符),这使得攻击者能提高自己的访问级别。
Windows 2000和NT4.0环境中广泛使用了委托关系,它建立于不同网络域之间,允许一个域中的用户访问另一个域中的资源,而无需身份验证。当受托域中的用户要求访问委托域中的资源时,受托域以SID列表的形式提供验证数据,以此验证用户身份及小组成员资格。
为了利用此漏洞,攻击者需要把SID添加到受托域的验证数据中,为此,攻击者必须获得受托域的系统管理员权限,并且具备修改低层操作系统函数和数据结构的专业知识,因为WindowsNT 4.0 和2000 不提供添加所需SID的工具。
微软说:委托域在检查验证数据中的SID时,显得过于“轻信”,攻击者—受托域中的系统管理员--只需具备委托域中(例如)简单的只读权限便可添加一个SID,该SID使攻击者获得委托域系统管理员身份,以此获得全权访问该委托域中的计算机的权限。
中国网管论坛bbs.bitsCN.com
微软称,使用新的SID过滤工具软件可堵塞此漏洞,该软件将为系统设置检查验证数据的功能,并删除那些不属于委托域的SID。然而,微软警告说,安装这一过滤软件会带来负作用,它将删除来自受托域的有效SID,这可能会对某些用户带来麻烦,例如那些正在从NT4.0迁移到2000系统、或者正在使用SIDHistory功能的用户。SIDHistory功能可以在生成新的资源访问控制列表之前简化迁移过程,有关该功能的详细资料,请访问:http://www.microsoft.com/windows2000/techinfo/administration/security/sidfilter.asp
评论加载中…
