安全公告
Microsoft 安全咨询2264072
使用 Windows 服务隔离绕过特权提升
发布时间: 2010 年 8 月 10 日
版本: 1.0
常规信息
执行摘要
Microsoft 知道利用 Windows 服务隔离功能获得特权提升的攻击的可能性。 此公告讨论了潜在的攻击方案,并提供有助于防止此问题的建议操作。 此公告还通过 Windows 电话应用程序编程接口(TAPI)为其中一种潜在攻击方案提供非安全更新。
此问题影响在 NetworkService 帐户拥有的进程内执行不受信任的代码的情况。 在这些方案中,攻击者有可能将进程提升为 NetworkService 帐户,并将其提升为作为目标服务器上的 LocalSystem 帐户运行进程。 成功提升为运行进程的攻击者,因为 LocalSystem 帐户可以执行任意代码并完全控制受影响的系统。 然后,攻击者可能会安装程序、查看更改项或删除数据,还可能会使用完全用户权限创建新的帐户。
尽管在大多数情况下,不受信任的代码未在 NetworkService 标识下运行,但以下方案已识别为可能的异常:
- 在非默认配置中运行 Internet Information Services(IIS)的系统面临更高的风险,尤其是在 Windows Server 2003 和 Windows Server 2008 上运行 IIS 时,因为这些系统上的默认工作进程标识是 NetworkService。
- 运行 SQL Server 的系统,其中向用户授予了 SQL Server 管理权限,风险更高。
- 运行 Windows 电话应用程序编程接口(TAPI)的系统面临更高的风险。
有关上述方案的详细信息,请参阅“常见问题解答”部分。 对于 TAPI 方案,Microsoft 提供非安全更新。 有关非安全更新的详细信息,请参阅 专门有关 Windows 电话应用程序编程接口 (TAPI) 漏洞的常见问题解答 - CVE-2010-1886 部分。
此外,我们正积极与 Microsoft Active Protections 计划(MAPP)中的合作伙伴合作,以提供他们可以用来为客户提供更广泛的保护的信息。
咨询详细信息
问题参考
有关此问题的详细信息,请参阅以下参考:
| 参考 | 标识 |
|---|---|
| CVE 参考 | CVE-2010-1886 |
| Microsoft 知识库文章 | 2264072 |
| 适用于 TAPI 非安全更新的 Microsoft 知识库文章 | 982316 |
受影响的和非受影响的软件
此公告讨论以下软件。
| 受影响的软件 |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 SP2 for Itanium 基于系统的 SP2 |
| Windows Vista Service Pack 1 和 Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 1 和 Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 for 32 位系统 Service Pack 2 |
| 基于 x64 的系统 Service Pack 2 的 Windows Server 2008 |
| 基于 Itanium 的系统 Service Pack 2 的 Windows Server 2008 |
| 适用于 32 位系统的 Windows 7 |
| 基于 x64 的系统 Windows 7 |
| 适用于基于 x64 的系统的 Windows Server 2008 R2 |
| 面向基于 Itanium 系统的 Windows Server 2008 R2 |
常见问题
公告的范围是什么?
安全公告通过帮助阐明 Windows 服务隔离功能的正确使用和限制以及提供解决方法来解决利用 Windows 服务隔离功能的攻击的可能性。
此安全公告还提供从 Microsoft 下载中心下载的可选非安全更新通知,以通过 Windows 电话应用程序编程接口(TAPI)解决攻击途径的问题。
这是否是要求 Microsoft 发出安全更新的安全漏洞?
否。 Windows 服务隔离功能是一些客户可以选择部署的可选配置。 此功能不适用于所有客户。 Windows 服务隔离是深层防御功能,不是适当的安全边界,因此不应进行解释。
什么是 Windows 服务隔离功能?
Windows 服务隔离功能无法更正安全漏洞,而是一项深度防御功能,可能对某些客户有用。 例如,服务隔离允许访问特定对象,而无需运行高特权帐户或削弱对象的安全保护。 通过使用包含服务 SID 的访问控制项,SQL Server 服务可限制对其资源的访问。 有关此功能以及如何适当配置此功能的详细信息,请参阅 Microsoft 知识库文章2264072。
什么是“身份验证后模拟客户端”权限?
将此权限分配给用户允许代表该用户运行的程序模拟客户端。 要求此用户对此类模拟的权限可防止未经授权的用户说服客户端(例如,通过远程过程调用(RPC)或命名管道连接到他们创建的服务,然后模拟该客户端,从而将未经授权的用户权限提升到管理级别或系统级别。
什么是 NetworkService 帐户?
NetworkService 帐户是服务控制管理器使用的预定义本地帐户。 它在本地计算机上具有特殊特权,并充当网络上的计算机。 在 NetworkService 帐户的上下文中运行的服务向远程服务器提供计算机的凭据。 有关详细信息,请参阅 MSDN 文章 NetworkService 帐户。
IIS 受到此问题的影响是什么?
在 Internet Information Services(IIS)中运行用户提供代码的系统可能会受到影响。 例如,ISAPI 筛选器、ISAPI 扩展和完全信任中运行的 ASP.NET 代码可能会受到此漏洞的影响。
在以下方案中,IIS 服务器面临此公告中所述攻击的风险降低:
- IIS 5.1、IIS 6.0 和 IIS 7.0 的默认安装会阻止匿名用户的攻击途径,因为在默认配置中,不允许匿名上传。
- 通过 IIS 的所有已知攻击途径都会被阻止,其中 ASP.NET 配置为使用低于完全信任级别的信任级别运行。
为了在 Web 服务器上成功,攻击者首先必须将特制的 Web 内容添加到 IIS 网站。 然后,攻击者可以使用对此特制 Web 内容的访问权限,提升为作为 LocalSystem 运行的进程。
通常,不允许不受信任的用户将 Web 内容添加到 IIS 网站。 但是,某些 Web 主机更面临攻击风险,因为它们显式为第三方 Web 内容提供托管。
Windows Server 2003 和 Windows Server 2008 上的 IIS 可能更面临此问题的风险,因为默认工作进程标识为 NetworkService。
攻击者如何利用 IIS 服务器上的问题?
攻击者可以将特制网页上传到网站,并使用对此页面的访问权限提升到作为 LocalSystem 运行的进程。 这还可以包括将特制内容上传到接受或托管用户提供的内容或广告的网站。 还可以通过使用横幅广告或其他方法向受影响的系统传送 Web 内容来显示特制的 Web 内容。
SQL Server 受到此问题的影响是什么?
如果用户被授予 SQL Server 管理权限(这将允许用户加载和运行代码),则运行 SQL Server 的系统可能会受到影响。 具有 SQL Server 管理权限的用户可以运行专门制作的代码,该代码用于利用攻击。 但是,默认情况下不会授予此特权。
攻击者如何利用 SQL 服务器上的问题?
具有 SQL Server 管理权限的用户可以运行专门制作的代码,以利用对受影响的 SQL Server 的攻击。
TAPI 受到此问题的影响是什么?
有关 Windows 电话应用程序编程接口(TAPI)如何受此问题影响的信息,请参阅下一部分, 具体涉及 Windows 电话应用程序编程接口 (TAPI) 漏洞的常见问题解答 - CVE-2010-1886。
攻击者可能使用此问题执行哪些操作?
成功利用此问题的攻击者可以在 LocalSystem 帐户的上下文中运行特制的代码。 然后,攻击者可以安装程序;查看、更改或删除数据;或创建具有完整 LocalSystem 权限的新帐户。
哪些系统主要面临此问题的风险?
在“概述”部分列出的所有运行软件的系统都处于危险状态,但 Windows XP Professional Service Pack 3 和所有受支持的 Windows Server 2003 和运行 IIS 的 Windows Server 2008 版本都面临更高的风险。
此外,允许用户上传代码的 IIS Web 服务器的风险更高。 这可能包括 Web 托管提供程序或类似环境。
如果向不受信任的用户授予特权帐户访问权限,SQL Server 系统将面临风险。
我使用的是此安全公告中讨论的软件的较旧版本。 应采取何种操作?
此公告中列出的受影响的软件已经过测试,以确定哪些版本受到影响。 其他版本已超过其支持生命周期。 有关产品生命周期的详细信息,请访问Microsoft 支持部门生命周期网站。
对于具有较旧版本的软件的客户来说,这应该是一个优先事项,可以迁移到受支持的版本,以防止潜在的漏洞暴露。 若要确定软件版本的支持生命周期,请参阅 “选择产品生命周期信息”。 有关这些软件版本的 Service Pack 的详细信息,请参阅生命周期支持的 Service Pack。
需要旧版软件自定义支持的客户必须联系其 Microsoft 帐户团队代表、其技术客户经理或相应的 Microsoft 合作伙伴代表以获取自定义支持选项。 没有联盟、顶级或授权合同的客户可以与其当地的 Microsoft 销售办公室联系。 有关联系信息,请访问 Microsoft 全球信息网站,在“联系信息”列表中选择国家/地区,然后单击“转到”以查看电话号码列表。 呼叫时,请与当地顶级支持销售经理交谈。 有关详细信息,请参阅Microsoft 支持部门生命周期策略常见问题解答。
有关 Windows 电话应用程序编程接口(TAPI)漏洞的常见问题解答 - CVE-2010-1886
在哪里可以找到此漏洞的非安全更新?
此更新仅适用于从 Microsoft 下载中心 下载。 有关更新的详细信息,包括下载链接和行为更改,请参阅 Microsoft 知识库文章982316。
什么是 Windows 电话应用程序编程接口(TAPI)?
TAPI 服务器(TAPISRV)是用户计算机上的电话数据的中央存储库。 此服务进程跟踪本地和远程电话资源、注册用于处理辅助电话请求的应用程序以及挂起的异步功能,它还支持与电话服务提供商(TSP)的一致接口。 有关详细信息和说明 TAPI 服务器与其他组件之间的关系及其角色概述的关系图,请参阅 Microsoft 电话编程模型。
造成此威胁的原因是什么?
此漏洞是由于 Windows 电话应用程序编程接口 (TAPI) 事务设施,允许在进行 RPC 调用时获取和使用 NetworkService 令牌。
这是否是要求 Microsoft 发出安全更新的安全漏洞?
否。 此更新实现一些客户可能选择部署的深层防御更改。 未运行 IIS 或 SQL 或已实现下面列出的解决方法的客户应在应用之前评估此深度防御更新。
这是有关非安全更新的安全公告。 这不是矛盾吗?
安全公告解决了可能不需要安全公告的安全更改,但仍可能会影响客户的整体安全性。 安全公告是 Microsoft 向客户传达安全相关信息的一种方法,说明可能未归类为漏洞的问题,可能不需要安全公告,或者没有发布安全公告的问题。 在这种情况下,我们将传达影响你执行后续更新(包括安全更新)的更新的可用性。 因此,此公告不会解决特定的安全漏洞;相反,它解决了整体安全性问题。
为什么 Microsoft 为此组件发出更新?
尽管这不是需要发出安全更新的漏洞,但攻击者可以使用 TAPI 服务(作为系统运行)从 NetworkService 提升到 LocalSystem。 攻击者必须已使用提升的权限运行,才能利用此问题。 此服务隔离仅作为深度防御措施实现,并不构成安全边界。
哪些系统主要面临此漏洞的风险?
运行 Windows 电话应用程序编程接口(TAPI)的系统主要面临风险。 这可能包括运行软件的所有系统,这些系统在 “概述 ”部分列出。 此外,Windows XP Professional Service Pack 3 以及运行 IIS 的 Windows Server 2003 和 Windows Server 2008 的所有受支持版本、允许用户上传代码的 IIS Web 服务器以及授予不受信任的用户的特权帐户访问权限的 SQL Server 系统的风险会增加。 这可能包括 Web 托管提供程序或类似环境。
攻击者可能使用此漏洞执行哪些操作?
成功利用此漏洞的攻击者可以使用系统级特权运行特制代码。 然后,攻击者可能会安装程序、查看更改项或删除数据,还可能会使用完全用户权限创建新的帐户。 攻击者必须已有权将代码作为 NetworkService 执行,才能成功利用此问题。
缓解因素和建议的操作
缓解因素
缓解是指在默认状态下存在的设置、常见配置或一般最佳做法,这可能会降低漏洞利用的严重性。 以下缓解因素可能对你的情况有所帮助:
- 攻击者必须能够在目标系统上以 NetworkService 帐户身份运行代码,以利用此漏洞。
- 使用默认设置的 IIS 服务器不受此问题的影响。
解决方法
解决方法是指未更正基础问题的设置或配置更改,但有助于在安全更新可用之前阻止已知的攻击途径。 Microsoft 在讨论解决方法是否减少功能时测试了以下解决方法和状态:
为 IIS 中的应用程序池配置 WPI
对于 IIS 6.0,请执行以下步骤:
- 在 IIS 管理器中,展开本地计算机,展开 应用程序池,右键单击应用程序池并选择“ 属性”。
- 单击“标识”选项卡,然后单击“可配置”。 在“用户名和密码”文本框中,键入要在其中运行工作进程的帐户的用户名和密码。
- 将所选用户帐户添加到IIS_WPG组。
对于 IIS 7.0 及更高版本,请执行以下步骤:
- 在提升的命令提示符下,更改为 %systemroot%\system32\inetsrv 目录。
- 使用以下语法执行 APPCMD.exe 命令,其中字符串是应用程序池的名称;**userName:**string 是分配给应用程序池的帐户的用户名;和 **password:**string 是帐户的密码。
appcmd set config /section:applicationPools / [name='string'].processModel.identityType:SpecificUser / [name='string'].processModel.userName:string /
[name='string'].processModel.password:string
为 CVE-2010-1886 应用非安全更新
仅可从 Microsoft 下载中心下载的 Windows 电话应用程序编程接口(TAPI)漏洞(CVE-2010-1886)应用非安全更新。 有关更新的详细信息,包括下载链接和行为更改,请参阅 Microsoft 知识库文章982316。
其他建议的操作
保护电脑
我们将继续鼓励客户遵循“保护计算机”指南,了解如何启用防火墙、获取软件更新和安装防病毒软件。 客户可以通过访问 “保护计算机”来了解有关这些步骤的详细信息。
有关在 Internet 上保持安全的详细信息,请访问 Microsoft 安全中心。
保持Windows 更新
所有 Windows 用户都应应用最新的 Microsoft 安全更新,以帮助确保其计算机尽可能受到保护。 如果不确定软件是否是最新的,请访问Windows 更新,扫描计算机以获取可用更新,并安装你提供的任何高优先级更新。 如果启用了自动汇报,则更新会在发布时传送给你,但你必须确保安装它们。
其他信息
致谢
Microsoft 感谢 以下部门与我们合作,帮助保护客户:
- Argeniss 的 Cesar Cerrudo,用于与我们合作处理 Windows 电话应用程序编程接口 (TAPI) 漏洞 (CVE-2010-1886)
Microsoft Active Protections 计划 (MAPP)
为了改善客户的安全保护,Microsoft 在每月安全更新发布之前向主要安全软件提供商提供漏洞信息。 然后,安全软件提供商可以使用此漏洞信息通过其安全软件或设备(如防病毒、基于网络的入侵检测系统或基于主机的入侵防护系统)为客户提供更新的保护。 若要确定安全软件提供商是否提供主动保护,请访问计划合作伙伴提供的活动保护网站,这些网站列在 Microsoft Active Protections 计划 (MAPP) 合作伙伴中。
反馈
- 可以通过完成 Microsoft 帮助和支持表单、 客户服务联系我们来提供反馈。
支持
- 美国和加拿大的客户可以从安全支持部门获得技术支持。 有关可用支持选项的详细信息,请参阅 Microsoft 帮助和支持。
- 国际客户可以从其本地 Microsoft 子公司获得支持。 有关如何联系 Microsoft 以获取国际支持问题的详细信息,请访问 国际支持。
- Microsoft TechNet 安全性 提供有关 Microsoft 产品安全性的其他信息。
免责声明
此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2010 年 8 月 10 日):已发布公告。
生成于 2014-04-18T13:49:36Z-07:00