安全公告
Microsoft 安全公告 MS13-027 - 重要提示
内核模式驱动程序中的漏洞可能导致特权提升(2807986)
发布时间: 2013 年 3 月 12 日 |更新时间:2013 年 7 月 9 日
版本: 1.2
常规信息
执行摘要
此安全更新可解决 Microsoft Windows 中三个私有报告的漏洞。 如果攻击者获得对系统的访问权限,则这些漏洞可能会允许提升特权。
对于所有受支持的 Microsoft Windows 版本,此安全更新都被评为“重要提示”。 有关详细信息,请参阅本节中的小节“ 受影响的和非受影响的软件”。
安全更新通过更正 Windows 内核模式驱动程序处理内存中的对象的方式来解决漏洞。 有关漏洞的详细信息,请参阅下一部分 “漏洞信息”下特定漏洞条目的常见问题解答(常见问题解答)子部分。
建议。 大多数客户已启用自动更新,无需采取任何操作,因为将自动下载并安装此安全更新。 未启用自动更新的客户需要检查更新并手动安装此更新。 有关自动更新中的特定配置选项的信息,请参阅 Microsoft 知识库文章294871。
对于管理员和企业安装,或想要手动安装此安全更新的最终用户,Microsoft 建议客户尽早使用更新管理软件应用更新,或者检查使用 Microsoft 更新服务进行更新。
另请参阅本公告后面的“检测和部署工具和指南”部分。
知识库文章
| 知识库文章 | 2807986 |
|---|---|
| 文件信息 | 是 |
| SHA1/SHA2 哈希 | 是 |
| 已知问题 | 是 |
受影响的和非受影响的软件
以下软件已经过测试,以确定哪些版本受到影响。 其他版本或版本要么超过其支持生命周期,要么不受影响。 若要确定软件版本或版本的支持生命周期,请参阅Microsoft 支持部门生命周期。
受影响的软件
| 操作系统 | 最大安全影响 | 聚合严重性分级 | 已替换汇报 |
|---|---|---|---|
| Windows XP | |||
| Windows XP Service Pack 3 (2807986) | 权限提升 | 重要 | 无 |
| Windows XP Professional x64 Edition Service Pack 2 (2807986) | 权限提升 | 重要 | 无 |
| Windows Server 2003 | |||
| Windows Server 2003 Service Pack 2 (2807986) | 权限提升 | 重要 | 无 |
| Windows Server 2003 x64 版本 Service Pack 2 (2807986) | 权限提升 | 重要 | 无 |
| Windows Server 2003 SP2 for Itanium 基于系统 (2807986) | 权限提升 | 重要 | 无 |
| Windows Vista | |||
| Windows Vista Service Pack 2 (2807986) | 权限提升 | 重要 | 无 |
| Windows Vista x64 Edition Service Pack 2 (2807986) | 权限提升 | 重要 | 无 |
| Windows Server 2008 | |||
| Windows Server 2008 for 32 位系统 Service Pack 2 (2807986) | 权限提升 | 重要 | 无 |
| 基于 x64 的系统 Service Pack 2 的 Windows Server 2008 (2807986) | 权限提升 | 重要 | 无 |
| 基于 Itanium 的系统 Service Pack 2 的 Windows Server 2008 (2807986) | 权限提升 | 重要 | 无 |
| Windows 7 | |||
| 适用于 32 位系统的 Windows 7 (2807986) | 权限提升 | 重要 | 无 |
| Windows 7 for 32 位系统 Service Pack 1 (2807986) | 权限提升 | 重要 | 无 |
| 基于 x64 的系统 版 Windows 7 (2807986) | 权限提升 | 重要 | 无 |
| 基于 x64 的系统 Service Pack 1 的 Windows 7 (2807986) | 权限提升 | 重要 | 无 |
| Windows Server 2008 R2 | |||
| 基于 x64 的系统 (2807986) 的 Windows Server 2008 R2 | 权限提升 | 重要 | 无 |
| 基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2 (2807986) | 权限提升 | 重要 | 无 |
| 适用于基于 Itanium 的系统 的 Windows Server 2008 R2 (2807986) | 权限提升 | 重要 | 无 |
| 基于 Itanium 的系统 Service Pack 1 的 Windows Server 2008 R2 (2807986) | 权限提升 | 重要 | 无 |
| Windows 8 | |||
| 适用于 32 位系统的 Windows 8 (2807986) | 权限提升 | 重要 | 无 |
| 适用于 64 位系统的 Windows 8 (2807986) | 权限提升 | 重要 | 无 |
| Windows Server 2012 | |||
| Windows Server 2012 (2807986) | 权限提升 | 重要 | 无 |
| 服务器核心安装选项 | |||
| Windows Server 2008 for 32 位系统 Service Pack 2 (服务器核心安装) (2807986) | 权限提升 | 重要 | 无 |
| Windows Server 2008 for x64 based Systems Service Pack 2 (Server Core installation) (2807986) | 权限提升 | 重要 | 无 |
| 适用于基于 x64 的系统 (服务器核心安装)的 Windows Server 2008 R2(2807986) | 权限提升 | 重要 | 无 |
| 基于 x64 的系统 Service Pack 1 (服务器核心安装)的 Windows Server 2008 R2(2807986) | 权限提升 | 重要 | 无 |
| Windows Server 2012 (服务器核心安装) (2807986) | 权限提升 | 重要 | 无 |
受影响的软件
| 操作系统 |
|---|
| Windows RT |
更新常见问题解答
为什么此公告于 2013 年 3 月 27 日修订?
Microsoft 修订了此公告以更正解决方法:阻止用户连接到系统上已安装的 USB 设备,并为尚未安装在系统上的 USB 设备禁用 USB 驱动程序。 原始解决方法包括阻止连接和安装 USB 存储设备的步骤。 这些步骤已从解决方法中删除,因为它们是不必要的。
我应用了原始解决方法。 是否需要重新应用解决方法?
否。 应用原始解决方法的客户不需要重新应用它们,因为原始解决方法会阻止已知的攻击途径。 但是,由于不需要阻止连接到 USB 存储设备并安装 USB 存储设备,Microsoft 建议撤消原始解决方法中的这些步骤。
我应用了原始的“阻止用户连接到系统上已安装的 USB 设备”解决方法。如何实现撤消禁用 USB 存储设备功能的步骤?
找到在解决方法中创建的备份文件(“UsbStor_backup.reg”。 对文件执行以下命令:
Regedit /s UsbStor_backup.reg
我应用了原始的“禁用尚未安装在系统上的 USB 设备的 USB 驱动程序”解决方法。 如何实现撤消禁用 USB 存储设备功能的步骤?
以管理员身份从命令提示符执行以下命令:
对于 Windows XP 和 Windows Server 2003:
cacls "%SystemRoot%\Inf\Usbstor.pnf" /E /R everyone
cacls "%SystemRoot%\Inf\Usbstor.inf" /E /R everyone
对于 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8 和 Windows Server 2012:
icacls "%SystemRoot%\Inf\" /restore %TEMP%\USBSTOR_PNF_ACL.TXT
icacls "%SystemRoot%\Inf\" /restore %TEMP%\USBSTOR_INF_ACL.TXT
我使用的是此安全公告中讨论的软件的较旧版本。 应采取何种操作?
此公告中列出的受影响的软件已经过测试,以确定哪些版本受到影响。 其他版本已超过其支持生命周期。 有关产品生命周期的详细信息,请参阅Microsoft 支持部门生命周期网站。
对于具有较旧版本的软件的客户来说,这应该是一个优先事项,可以迁移到受支持的版本,以防止潜在的漏洞暴露。 若要确定软件版本的支持生命周期,请参阅 “选择产品生命周期信息”。 有关这些软件版本的 Service Pack 的详细信息,请参阅 Service Pack 生命周期支持策略。
需要旧版软件自定义支持的客户必须联系其 Microsoft 帐户团队代表、其技术客户经理或相应的 Microsoft 合作伙伴代表以获取自定义支持选项。 没有联盟、顶级或授权合同的客户可以与其当地的 Microsoft 销售办公室联系。 有关联系信息,请参阅 Microsoft 全球信息网站,在“联系信息”列表中选择国家/地区,然后单击“转到”以查看电话号码列表。 呼叫时,请与当地顶级支持销售经理交谈。 有关详细信息,请参阅Microsoft 支持部门生命周期策略常见问题解答。
漏洞信息
严重性分级和漏洞标识符
以下严重性分级假定漏洞的潜在最大影响。 有关此安全公告发布 30 天内漏洞的可利用性及其严重性评级和安全影响的信息,请参阅 3 月公告摘要中的“可利用性索引”。 有关详细信息,请参阅 Microsoft Exploitability Index。
| 受影响的软件 | Windows USB 描述符漏洞 - CVE-2013-1285 | Windows USB 描述符漏洞 - CVE-2013-1286 | Windows USB 描述符漏洞 - CVE-2013-1287 | 聚合严重性分级 |
|---|---|---|---|---|
| Windows XP | ||||
| Windows XP Service Pack 3 | 重要 特权提升 | 重要 特权提升 | 重要 特权提升 | 重要说明 |
| Windows XP Professional x64 Edition Service Pack 2 | 重要 特权提升 | 重要 特权提升 | 重要 特权提升 | 重要说明 |
| Windows Server 2003 | ||||
| Windows Server 2003 Service Pack 2 | 重要 特权提升 | 重要 特权提升 | 重要 特权提升 | 重要说明 |
| Windows Server 2003 x64 Edition Service Pack 2 | 重要 特权提升 | 重要 特权提升 | 重要 特权提升 | 重要说明 |
| Windows Server 2003 SP2 for Itanium 基于系统的 SP2 | 重要 特权提升 | 重要 特权提升 | 重要 特权提升 | 重要说明 |
| Windows Vista | ||||
| Windows Vista Service Pack 2 | 重要 特权提升 | 重要 特权提升 | 重要 特权提升 | 重要说明 |
| Windows Vista x64 版本 Service Pack 2 | 重要 特权提升 | 重要 特权提升 | 重要 特权提升 | 重要说明 |
| Windows Server 2008 | ||||
| Windows Server 2008 for 32 位系统 Service Pack 2 | 重要 特权提升 | 重要 特权提升 | 重要 特权提升 | 重要说明 |
| 基于 x64 的系统 Service Pack 2 的 Windows Server 2008 | 重要 特权提升 | 重要 特权提升 | 重要 特权提升 | 重要说明 |
| 基于 Itanium 的系统 Service Pack 2 的 Windows Server 2008 | 重要 特权提升 | 重要 特权提升 | 重要 特权提升 | 重要说明 |
| Windows 7 | ||||
| 适用于 32 位系统的 Windows 7 | 重要 特权提升 | 重要 特权提升 | 重要 特权提升 | 重要说明 |
| Windows 7 for 32 位系统 Service Pack 1 | 重要 特权提升 | 重要 特权提升 | 重要 特权提升 | 重要说明 |
| 基于 x64 的系统 Windows 7 | 重要 特权提升 | 重要 特权提升 | 重要 特权提升 | 重要说明 |
| 基于 x64 的系统 Service Pack 1 的 Windows 7 | 重要 特权提升 | 重要 特权提升 | 重要 特权提升 | 重要说明 |
| Windows Server 2008 R2 | ||||
| 适用于基于 x64 的系统的 Windows Server 2008 R2 | 重要 特权提升 | 重要 特权提升 | 重要 特权提升 | 重要说明 |
| 基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2 | 重要 特权提升 | 重要 特权提升 | 重要 特权提升 | 重要说明 |
| 面向基于 Itanium 系统的 Windows Server 2008 R2 | 重要 特权提升 | 重要 特权提升 | 重要 特权提升 | 重要说明 |
| 适用于基于 Itanium 的系统 Service Pack 1 的 Windows Server 2008 R2 | 重要 特权提升 | 重要 特权提升 | 重要 特权提升 | 重要说明 |
| Windows 8 | ||||
| 适用于 32 位系统的 Windows 8 | 重要 特权提升 | 重要 特权提升 | 重要 特权提升 | 重要说明 |
| 适用于 64 位系统的 Windows 8 | 重要 特权提升 | 重要 特权提升 | 重要 特权提升 | 重要说明 |
| Windows Server 2012 | ||||
| Windows Server 2012 | 重要 特权提升 | 重要 特权提升 | 重要 特权提升 | 重要说明 |
| 服务器核心安装选项 | ||||
| Windows Server 2008 for 32 位系统 Service Pack 2 (服务器核心安装) | 重要 特权提升 | 重要 特权提升 | 重要 特权提升 | 重要说明 |
| 基于 x64 的系统 Service Pack 2 的 Windows Server 2008 (服务器核心安装) | 重要 特权提升 | 重要 特权提升 | 重要 特权提升 | 重要说明 |
| 适用于基于 x64 的系统(服务器核心安装)的 Windows Server 2008 R2 | 重要 特权提升 | 重要 特权提升 | 重要 特权提升 | 重要说明 |
| 基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2 (服务器核心安装) | 重要 特权提升 | 重要 特权提升 | 重要 特权提升 | 重要说明 |
| Windows Server 2012 (服务器核心安装) | 重要 特权提升 | 重要 特权提升 | 重要 特权提升 | 重要说明 |
Windows USB 描述符漏洞 - CVE-2013-1285
Windows USB 驱动程序在内存中处理对象时存在特权提升漏洞。 成功利用此漏洞的攻击者可以在内核模式下运行任意代码。 然后,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全管理权限的新帐户。
若要将此漏洞视为常见漏洞和公开列表中的标准条目,请参阅 CVE-2013-1285。
缓解因素
缓解是指在默认状态下存在的设置、常见配置或一般最佳做法,这可能会降低漏洞利用的严重性。 以下缓解因素可能对你的情况有所帮助:
- 在默认配置中,未经身份验证的攻击者只有在对系统具有物理访问权限的情况下才能利用此漏洞。
解决方法
解决方法是指未更正基础漏洞的设置或配置更改,但有助于在应用更新之前阻止已知的攻击途径。 Microsoft 在讨论解决方法是否减少功能时测试了以下解决方法和状态:
阻止用户连接到系统上已安装的 USB 设备
使用此解决方法通过系统上已安装的 USB 设备阻止攻击途径。 可以更改注册表,以确保用户连接到计算机时设备不起作用。
警告 如果注册表编辑器不正确,可能会导致严重问题,可能需要重新安装操作系统。 Microsoft 无法保证可以解决因注册表编辑器使用不当而造成的问题。 请慎用注册表编辑器,风险自负。
解决方法的影响。 用户无法在计算机上安装 USB RNDIS 设备。
创建注册表项的备份。 可以使用托管部署脚本和以下命令创建备份副本:
Regedit.exe /e Usb_rndis_backup.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Usb_rndis Regedit.exe /e Usb_rndisx_backup.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Usb_rndisx Regedit.exe /e Usb_rndis6_backup.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Usb_rndis6创建包含以下内容的名为Disable_USB_RNDIS.reg的文本文件:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Usb_rndis] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Usb_rndisx] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Usbrndis6] "Start"=dword:00000004使用以下命令在目标系统上运行在步骤 2 中创建的注册表脚本:
Regedit /s Disable_USB_RNDIS.reg
如何撤消解决方法。
使用以下命令还原在阻止用户连接到系统解决方法上已安装的 USB 设备的步骤 1 中创建的备份文件:
Regedit /s Usb_rndis_backup.reg Regedit /s Usb_rndisx_backup.reg Regedit /s Usb_rndis6_backup.reg为系统上尚未安装的 USB 设备禁用 USB 驱动程序
使用此解决方法可以通过尚未安装在系统上的 USB 设备阻止攻击途径。 以管理员身份从命令提示符运行以下命令:
对于 Windows XP 和 Windows Server 2003:
cacls "%SystemRoot%\Inf\Netrndis.pnf" /E /P everyone:N cacls "%SystemRoot%\Inf\Netrndis.inf" /E /P everyone:N对于 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8 和 Windows Server 2012:
takeown /f "%SystemRoot%\Inf\Netrndis.pnf" icacls "%SystemRoot%\Inf\Netrndis.pnf" /save %TEMP%\NETRNDIS_PNF_ACL.TXT icacls "%SystemRoot%\Inf\Netrndis.pnf" /deny everyone(F) takeown /f "%SystemRoot%\Inf\Netrndis.inf" icacls "%SystemRoot%\Inf\Netrndis.inf" /save %TEMP%\NETRNDIS_INF_ACL.TXT icacls "%SystemRoot%\Inf\Netrndis.inf" /deny everyone(F)解决方法的影响。 用户无法在计算机上安装 USB RNDIS 设备。
如何撤消解决方法:
以管理员身份从命令提示符运行以下命令:
对于 Windows XP 和 Windows Server 2003:
cacls "%SystemRoot%\Inf\Netrndis.pnf" /E /R everyone cacls "%SystemRoot%\Inf\Netrndis.inf" /E /R everyone对于 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8 和 Windows Server 2012:
icacls "%SystemRoot%\Inf\" /restore %TEMP%\NETRNDIS_PNF_ACL.TXT icacls "%SystemRoot%\Inf\" /restore %TEMP%\NETRNDIS_INF_ACL.TXT
常见问题解答
漏洞的范围是什么?
这是特权提升漏洞。
导致漏洞的原因是什么?
当 Windows 内核模式驱动程序在内存中处理对象时,会导致该漏洞。
什么是 Windows 内核?
Windows 内核是操作系统的核心。 它提供系统级服务,例如设备管理和内存管理、为进程分配处理器时间以及管理错误处理。
攻击者可能使用漏洞执行哪些操作?
成功利用此漏洞的攻击者可以在内核模式下运行任意代码。 然后,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全管理权限的新帐户。
攻击者如何利用漏洞?
攻击者可以通过将恶意 USB 设备插入系统来利用漏洞。
哪些系统主要面临漏洞的风险?
工作站主要面临风险。
更新的作用是什么?
更新通过更正 Windows 内核模式驱动程序处理内存中的对象的方式来解决漏洞。
发布此安全公告后,是否已公开披露此漏洞?
否。 Microsoft 通过协调的漏洞泄露收到了有关此漏洞的信息。
发布此安全公告后,Microsoft 是否收到了有关此漏洞被利用的任何报告?
否。 当最初发布此安全公告时,Microsoft 未收到任何信息,表明此漏洞已公开用于攻击客户。
Windows USB 描述符漏洞 - CVE-2013-1286
Windows USB 驱动程序在内存中处理对象时存在特权提升漏洞。 成功利用此漏洞的攻击者可以在内核模式下运行任意代码。 然后,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全管理权限的新帐户。
若要将此漏洞视为常见漏洞和公开列表中的标准条目,请参阅 CVE-2013-1286。
缓解因素
缓解是指在默认状态下存在的设置、常见配置或一般最佳做法,这可能会降低漏洞利用的严重性。 以下缓解因素可能对你的情况有所帮助:
- 在默认配置中,未经身份验证的攻击者只有在对系统具有物理访问权限的情况下才能利用此漏洞。
解决方法
解决方法是指未更正基础漏洞的设置或配置更改,但有助于在应用更新之前阻止已知的攻击途径。 Microsoft 在讨论解决方法是否减少功能时测试了以下解决方法和状态:
阻止用户连接到系统上已安装的 USB 设备
使用此解决方法通过系统上已安装的 USB 设备阻止攻击途径。 可以更改注册表,以确保用户连接到计算机时设备不起作用。
警告 如果注册表编辑器不正确,可能会导致严重问题,可能需要重新安装操作系统。 Microsoft 无法保证可以解决因注册表编辑器使用不当而造成的问题。 请慎用注册表编辑器,风险自负。
解决方法的影响。 用户无法在计算机上安装 USB RNDIS 设备。
创建注册表项的备份。 可以使用托管部署脚本和以下命令创建备份副本:
Regedit.exe /e Usb_rndis_backup.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Usb_rndis Regedit.exe /e Usb_rndisx_backup.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Usb_rndisx Regedit.exe /e Usb_rndis6_backup.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Usb_rndis6创建包含以下内容的名为Disable_USB_RNDIS.reg的文本文件:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Usb_rndis] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Usb_rndisx] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Usbrndis6] "Start"=dword:00000004使用以下命令在目标系统上运行在步骤 2 中创建的注册表脚本:
Regedit /s Disable_USB_RNDIS.reg
如何撤消解决方法。
使用以下命令还原在阻止用户连接到系统解决方法上已安装的 USB 设备的步骤 1 中创建的备份文件:
Regedit /s Usb_rndis_backup.reg Regedit /s Usb_rndisx_backup.reg Regedit /s Usb_rndis6_backup.reg为系统上尚未安装的 USB 设备禁用 USB 驱动程序
使用此解决方法可以通过尚未安装在系统上的 USB 设备阻止攻击途径。 以管理员身份从命令提示符运行以下命令:
对于 Windows XP 和 Windows Server 2003:
cacls "%SystemRoot%\Inf\Netrndis.pnf" /E /P everyone:N cacls "%SystemRoot%\Inf\Netrndis.inf" /E /P everyone:N对于 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8 和 Windows Server 2012:
takeown /f "%SystemRoot%\Inf\Netrndis.pnf" icacls "%SystemRoot%\Inf\Netrndis.pnf" /save %TEMP%\NETRNDIS_PNF_ACL.TXT icacls "%SystemRoot%\Inf\Netrndis.pnf" /deny everyone(F) takeown /f "%SystemRoot%\Inf\Netrndis.inf" icacls "%SystemRoot%\Inf\Netrndis.inf" /save %TEMP%\NETRNDIS_INF_ACL.TXT icacls "%SystemRoot%\Inf\Netrndis.inf" /deny everyone(F)解决方法的影响。 用户无法在计算机上安装 USB RNDIS 设备。
如何撤消解决方法:
以管理员身份从命令提示符运行以下命令:
对于 Windows XP 和 Windows Server 2003:
cacls "%SystemRoot%\Inf\Netrndis.pnf" /E /R everyone cacls "%SystemRoot%\Inf\Netrndis.inf" /E /R everyone对于 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8 和 Windows Server 2012:
icacls "%SystemRoot%\Inf\" /restore %TEMP%\NETRNDIS_PNF_ACL.TXT icacls "%SystemRoot%\Inf\" /restore %TEMP%\NETRNDIS_INF_ACL.TXT
常见问题解答
漏洞的范围是什么?
这是特权提升漏洞。
导致漏洞的原因是什么?
当 Windows 内核模式驱动程序在内存中处理对象时,会导致该漏洞。
什么是 Windows 内核?
Windows 内核是操作系统的核心。 它提供系统级服务,例如设备管理和内存管理、为进程分配处理器时间以及管理错误处理。
攻击者可能使用漏洞执行哪些操作?
成功利用此漏洞的攻击者可以在内核模式下运行任意代码。 然后,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全管理权限的新帐户。
攻击者如何利用漏洞?
攻击者可以通过将恶意 USB 设备插入系统来利用漏洞。
哪些系统主要面临漏洞的风险?
工作站主要面临风险。
更新的作用是什么?
更新通过更正 Windows 内核模式驱动程序处理内存中的对象的方式来解决漏洞。
发布此安全公告后,是否已公开披露此漏洞?
否。 Microsoft 通过协调的漏洞泄露收到了有关此漏洞的信息。
发布此安全公告后,Microsoft 是否收到了有关此漏洞被利用的任何报告?
否。 当最初发布此安全公告时,Microsoft 未收到任何信息,表明此漏洞已公开用于攻击客户。
Windows USB 描述符漏洞 - CVE-2013-1287
Windows USB 驱动程序在内存中处理对象时存在特权提升漏洞。 成功利用此漏洞的攻击者可以在内核模式下运行任意代码。 然后,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全管理权限的新帐户。
若要将此漏洞视为常见漏洞和公开列表中的标准条目,请参阅 CVE-2013-1287。
缓解因素
缓解是指在默认状态下存在的设置、常见配置或一般最佳做法,这可能会降低漏洞利用的严重性。 以下缓解因素可能对你的情况有所帮助:
- 在默认配置中,未经身份验证的攻击者只有在对系统具有物理访问权限的情况下才能利用此漏洞。
解决方法
解决方法是指未更正基础漏洞的设置或配置更改,但有助于在应用更新之前阻止已知的攻击途径。 Microsoft 在讨论解决方法是否减少功能时测试了以下解决方法和状态:
阻止用户连接到系统上已安装的 USB 设备
使用此解决方法通过系统上已安装的 USB 设备阻止攻击途径。 可以更改注册表,以确保用户连接到计算机时设备不起作用。
警告 如果注册表编辑器不正确,可能会导致严重问题,可能需要重新安装操作系统。 Microsoft 无法保证可以解决因注册表编辑器使用不当而造成的问题。 请慎用注册表编辑器,风险自负。
解决方法的影响。 用户无法在计算机上安装 USB RNDIS 设备。
创建注册表项的备份。 可以使用托管部署脚本和以下命令创建备份副本:
Regedit.exe /e Usb_rndis_backup.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Usb_rndis Regedit.exe /e Usb_rndisx_backup.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Usb_rndisx Regedit.exe /e Usb_rndis6_backup.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Usb_rndis6`创建包含以下内容的名为Disable_USB_RNDIS.reg的文本文件:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Usb_rndis]"Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Usb_rndisx]"Start"=dword:00000004[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Usbrndis6]"Start"=dword:00000004`使用以下命令在目标系统上运行在步骤 2 中创建的注册表脚本:
Regedit /s Disable_USB_RNDIS.reg
如何撤消解决方法。
使用以下命令还原在阻止用户连接到系统解决方法上已安装的 USB 设备的步骤 1 中创建的备份文件:
Regedit /s Usb_rndis_backup.reg Regedit /s Usb_rndisx_backup.reg Regedit /s Usb_rndis6_backup.reg为系统上尚未安装的 USB 设备禁用 USB 驱动程序
使用此解决方法可以通过尚未安装在系统上的 USB 设备阻止攻击途径。 以管理员身份从命令提示符运行以下命令:
对于 Windows XP 和 Windows Server 2003:
cacls "%SystemRoot%\Inf\Netrndis.pnf" /E /P everyone:N cacls "%SystemRoot%\Inf\Netrndis.inf" /E /P everyone:N`对于 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8 和 Windows Server 2012:
takeown /f "%SystemRoot%\Inf\Netrndis.pnf" icacls "%SystemRoot%\Inf\Netrndis.pnf" /save %TEMP%\NETRNDIS_PNF_ACL.TXT icacls "%SystemRoot%\Inf\Netrndis.pnf" /deny everyone(F) takeown /f "%SystemRoot%\Inf\Netrndis.inf" icacls "%SystemRoot%\Inf\Netrndis.inf" /save %TEMP%\NETRNDIS_INF_ACL.TXT icacls "%SystemRoot%\Inf\Netrndis.inf" /deny everyone(F)解决方法的影响。 用户无法在计算机上安装 USB RNDIS 设备。
如何撤消解决方法:
以管理员身份从命令提示符运行以下命令:
对于 Windows XP 和 Windows Server 2003:
cacls "%SystemRoot%\Inf\Netrndis.pnf" /E /R everyone cacls "%SystemRoot%\Inf\Netrndis.inf" /E /R everyone对于 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8 和 Windows Server 2012:
icacls "%SystemRoot%\Inf\" /restore %TEMP%\NETRNDIS_PNF_ACL.TXT icacls "%SystemRoot%\Inf\" /restore %TEMP%\NETRNDIS_INF_ACL.TXT`
常见问题解答
漏洞的范围是什么?
这是特权提升漏洞。
导致漏洞的原因是什么?
当 Windows 内核模式驱动程序在内存中处理对象时,会导致该漏洞。
什么是 Windows 内核? Windows 内核是操作系统的核心。 它提供系统级服务,例如设备管理和内存管理、为进程分配处理器时间以及管理错误处理。
攻击者可能使用漏洞执行哪些操作?
成功利用此漏洞的攻击者可以在内核模式下运行任意代码。 然后,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全管理权限的新帐户。
攻击者如何利用漏洞?
攻击者可以通过将恶意 USB 设备插入系统来利用漏洞。
哪些系统主要面临漏洞的风险?
工作站主要面临风险。
更新的作用是什么?
更新通过更正 Windows 内核模式驱动程序处理内存中的对象的方式来解决漏洞。
发布此安全公告后,是否已公开披露此漏洞?
否。 Microsoft 通过协调的漏洞泄露收到了有关此漏洞的信息。
发布此安全公告后,Microsoft 是否收到了有关此漏洞被利用的任何报告?
否。 当最初发布此安全公告时,Microsoft 未收到任何信息,表明此漏洞已公开用于攻击客户。
更新信息
检测和部署工具和指南
多个资源可用于帮助管理员部署安全更新。
- Microsoft 基线安全分析器(MBSA)允许管理员扫描本地和远程系统,以查找缺少安全更新和常见安全配置错误。
- Windows Server Update Services(WSUS)、系统管理服务器(SMS)和 System Center Configuration Manager(SCCM)可帮助管理员分发安全更新。
- 应用程序兼容性工具包随附的更新兼容性计算器组件有助于简化针对已安装应用程序的 Windows 更新测试和验证。
有关这些工具和可用的其他工具的信息,请参阅 适用于 IT 专业人员的安全工具。
安全更新部署
受影响的软件
有关受影响软件的特定安全更新的信息,请单击相应的链接:
Windows XP (所有版本)
引用表
下表包含此软件的安全更新信息。
| 安全更新文件名 | 对于 Windows XP Service Pack 3:\ WindowsXP-知识库(KB)2807986-x86-ENU.exe |
|---|---|
| 对于 Windows XP Professional x64 Edition Service Pack 2:\ WindowsServer2003.WindowsXP-知识库(KB)2807986-x64-enu.exe | |
| 安装开关 | 请参阅 Microsoft 知识库文章262841 |
| 更新日志文件 | 知识库(KB)2807986.log |
| 重启要求 | 是的,应用此安全更新后,必须重启系统。 |
| 删除信息 | 在 %Windir%$NTUninstall知识库(KB)2807986$\Spuninst 文件夹中使用控制面板或Spuninst.exe实用工具中的“添加或删除程序”项 |
| 文件信息 | 请参阅 Microsoft 知识库文章2807986 |
| 注册表项验证 | 对于所有受支持的 32 位版本的 Windows XP:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows XP\SP4\知识库(KB)2807986\Filelist |
| 对于所有受支持的基于 x64 的 Windows XP:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows XP 版本 2003\SP3\知识库(KB)2807986\Filelist |
请注意 ,Windows XP Professional x64 Edition 支持的版本的更新也适用于受支持的 Windows Server 2003 x64 版本。
Windows Server 2003 (所有版本)
引用表
下表包含此软件的安全更新信息。
| 安全更新文件名 | 对于所有受支持的 32 位版本的 Windows Server 2003:\ WindowsServer2003-知识库(KB)2807986-x86-enu.exe |
|---|---|
| 对于所有受支持的基于 x64 的 Windows Server 2003:\ WindowsServer2003.WindowsXP-知识库(KB)2807986-x64-enu.exe | |
| 对于所有受支持的基于 Itanium 的 Windows Server 2003:WindowsServer2003-知识库(KB)2807986-ia64-enu.exe | |
| 安装开关 | 请参阅 Microsoft 知识库文章262841 |
| 更新日志文件 | 知识库(KB)2807986.log |
| 重启要求 | 是的,应用此安全更新后,必须重启系统。 |
| 删除信息 | 在 %Windir%$NTUninstall知识库(KB)2807986$\Spuninst 文件夹中使用控制面板或Spuninst.exe实用工具中的“添加或删除程序”项 |
| 文件信息 | 请参阅 Microsoft 知识库文章2807986 |
| 注册表项验证 | 对于所有受支持的 32 位版本的 Windows Server 2003:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows Server 2003\SP3\知识库(KB)2807986\Filelist |
| 对于所有受支持的基于 x64 的 Windows Server 2003:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows Server 2003\SP3\知识库(KB)2807986\Filelist |
请注意 ,Windows Server 2003 x64 版本的受支持版本的更新也适用于受支持的 Windows XP Professional x64 版本。
Windows Vista (所有版本)
引用表
下表包含此软件的安全更新信息。
| 安全更新文件名 | 对于所有受支持的 32 位版本的 Windows Vista:\ Windows6.0-知识库(KB)2807986-x86.msu |
|---|---|
| 对于所有受支持的基于 x64 的 Windows Vista 版本:\ Windows6.0-知识库(KB)2807986-x64.msu | |
| 安装开关 | 请参阅 Microsoft 知识库文章934307 |
| 重启要求 | 是的,应用此安全更新后,必须重启系统。 |
| 删除信息 | WUSA.exe不支持卸载更新。 若要卸载 WUSA 安装的更新,请单击控制面板,然后单击“安全性”。 在Windows 更新下,单击“查看已安装的更新”,然后从更新列表中选择。 |
| 文件信息 | 请参阅 Microsoft 知识库文章2807986 |
| 注册表项验证 | 请注意 ,不存在用于验证此更新是否存在的注册表项。 |
Windows Server 2008(所有版本)
引用表
下表包含此软件的安全更新信息。
| 安全更新文件名 | 对于所有受支持的 32 位版本的 Windows Server 2008:\ Windows6.0-知识库(KB)2807986-x86.msu |
|---|---|
| 对于所有受支持的基于 x64 版本的 Windows Server 2008:\ Windows6.0-知识库(KB)2807986-x64.msu | |
| 对于所有受支持的基于 Itanium 的 Windows Server 2008 版本:\ Windows6.0-知识库(KB)2807986-ia64.msu | |
| 安装开关 | 请参阅 Microsoft 知识库文章934307 |
| 重启要求 | 是的,应用此安全更新后,必须重启系统。 |
| 删除信息 | WUSA.exe不支持卸载更新。 若要卸载 WUSA 安装的更新,请单击控制面板,然后单击“安全性”。 在Windows 更新下,单击“查看已安装的更新”,然后从更新列表中选择。 |
| 文件信息 | 请参阅 Microsoft 知识库文章2807986 |
| 注册表项验证 | 请注意 ,不存在用于验证此更新是否存在的注册表项。 |
Windows 7 (所有版本)
引用表
下表包含此软件的安全更新信息。
| 安全更新文件名 | 对于所有受支持的 32 位版本的 Windows 7:\ Windows6.1-知识库(KB)2807986-x86.msu |
|---|---|
| 对于所有受支持的基于 x64 的 Windows 7 版本:\ Windows6.1-知识库(KB)2807986-x64.msu | |
| 安装开关 | 请参阅 Microsoft 知识库文章934307 |
| 重启要求 | 是的,应用此安全更新后,必须重启系统。 |
| 删除信息 | 若要卸载 WUSA 安装的更新,请使用 /Uninstall 安装程序开关或单击控制面板,单击“系统和安全”,然后在Windows 更新下,单击“查看已安装的更新”,然后从更新列表中选择。 |
| 文件 | 请参阅 Microsoft 知识库文章2807986 |
| 注册表 | 请注意 ,不存在用于验证此更新是否存在的注册表项。 |
Windows Server 2008 R2(所有版本)
引用表
下表包含此软件的安全更新信息。
| 安全更新文件名 | 对于所有受支持的基于 x64 版本的 Windows Server 2008 R2:\ Windows6.1-知识库(KB)2807986-x64.msu |
|---|---|
| 对于所有受支持的基于 Itanium 版本的 Windows Server 2008 R2:\ Windows6.1-知识库(KB)2807986-ia64.msu | |
| 安装开关 | 请参阅 Microsoft 知识库文章934307 |
| 重启要求 | 是的,应用此安全更新后,必须重启系统。 |
| 删除信息 | 若要卸载 WUSA 安装的更新,请使用 /Uninstall 安装程序开关或单击控制面板,单击“系统和安全”,然后在Windows 更新下,单击“查看已安装的更新”,然后从更新列表中选择。 |
| 文件信息 | 请参阅 Microsoft 知识库文章2807986 |
| 注册表 | 请注意 ,不存在用于验证此更新是否存在的注册表项。 |
Windows 8 (所有版本)
引用表
下表包含此软件的安全更新信息。
| 安全更新文件名 | 对于所有受支持的 32 位版本的 Windows 8:\ Windows8-RT-知识库(KB)2807986-x86.msu |
|---|---|
| 对于所有受支持的 64 位版本的 Windows 8:\ Windows8-RT-知识库(KB)2807986-x64.msu | |
| 安装开关 | 请参阅 Microsoft 知识库文章934307 |
| 重启要求 | 是的,应用此安全更新后,必须重启系统。 |
| 删除信息 | 若要卸载 WUSA 安装的更新,请使用 /Uninstall 安装程序开关或单击控制面板,单击“系统和安全”,单击“Windows 更新”,然后单击“已安装的更新”,然后从更新列表中选择。 |
| 文件信息 | 请参阅 Microsoft 知识库文章2807986 |
| 注册表项验证 | 请注意 ,不存在用于验证此更新是否存在的注册表项。 |
Windows Server 2012(所有版本)
引用表
下表包含此软件的安全更新信息。
| 安全更新文件名 | 对于所有受支持的 Windows Server 2012:\ Windows8-RT-知识库(KB)2807986-x64.msu |
|---|---|
| 安装开关 | 请参阅 Microsoft 知识库文章934307 |
| 重启要求 | 是的,应用此安全更新后,必须重启系统。 |
| 删除信息 | 若要卸载 WUSA 安装的更新,请使用 /Uninstall 安装程序开关或单击控制面板,单击“系统和安全”,单击“Windows 更新”,然后单击“已安装的更新”,然后从更新列表中选择。 |
| 文件信息 | 请参阅 Microsoft 知识库文章2807986 |
| 注册表项验证 | 请注意 ,不存在用于验证此更新是否存在的注册表项。 |
其他信息
致谢
Microsoft 感谢 以下部门与我们合作,帮助保护客户:
- 用于报告 Windows USB 描述符漏洞的 NCC 组的 Andy Davis (CVE-2013-1285)
- 用于报告 Windows USB 描述符漏洞的 NCC 组的 Andy Davis (CVE-2013-1286)
- 用于报告 Windows USB 描述符漏洞的 NCC 组的 Andy Davis (CVE-2013-1287)
Microsoft Active Protections 计划 (MAPP)
为了改善客户的安全保护,Microsoft 在每月安全更新发布之前向主要安全软件提供商提供漏洞信息。 然后,安全软件提供商可以使用此漏洞信息通过其安全软件或设备(如防病毒、基于网络的入侵检测系统或基于主机的入侵防护系统)为客户提供更新的保护。 若要确定安全软件提供商是否提供主动保护,请转到 Microsoft Active Protections 计划 (MAPP) 合作伙伴中列出的计划合作伙伴提供的活动保护网站。
支持
如何获取此安全更新的帮助和支持
- 帮助安装更新: 支持 Microsoft 更新
- 面向 IT 专业人员的安全解决方案: TechNet 安全故障排除和支持
- 帮助保护运行 Windows 的计算机免受病毒和恶意软件的攻击: 病毒解决方案和安全中心
- 根据国家/地区提供本地支持: 国际支持
免责声明
Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2013 年 3 月 12 日):公告已发布。
- V1.1(2013 年 3 月 27 日):修订公告,删除禁用 USB 大容量存储设备的解决方法步骤,因为这些步骤不需要阻止已知的攻击途径。 有关详细信息,请参阅更新常见问题解答。
- V1.2(2013 年 7 月 9 日):公告已修订,宣布 Windows Vista 程序包中2807986更新的检测更改,以更正Windows 更新问题。 这只是检测更改。 已成功更新其系统的客户无需采取任何操作。
生成于 2014-04-18T13:49:36Z-07:00