Microsoft biztonsági tanácsadó 2264072

Jogok kiterjesztése a Windows szolgáltatás elkülönítésének megkerülésével

Közzétéve: 2010. augusztus 10.

Verzió: 1.0

Általános tudnivalók

Összefoglalás

A Microsoft tisztában van azoknak a támadásoknak a lehetőségével, amelyek a Windows szolgáltatás elkülönítés funkciót használják fel a jogok kiterjesztésének elérésére. A jelen tanácsadó a lehetséges támadási felületeket és azon javasolt műveleteket tárgyalja, amelyek védelmet nyújtanak a probléma ellen. A tanácsadó egyben felkínál egy nem biztonsági jellegű frissítést a Windows telefonos alkalmazási programozási interfész (TAPI) révén megvalósítható esetleges támadások ellen.

A probléma olyan esetekben érvényesül, amikor nem megbízható kódot futtatnak a NetworkService fiókhoz tartó folyamaton belül. Ezekben az esetekben a támadó felhasználhatja ezt a jogosultságok kiterjesztésére olyan folyamatok futtatásával mint a NetworkService fiók, vagy a LocalSystem fiók, a célkiszolgálón. Ha egy támadó sikeresen kiterjesztette jogait az olyan folyamatos futtatásával mint a LocalSystem fiók, mesterséges kódot futtathat és teljes mértékben átveheti az érintett rendszer irányítását. Ezt követően a támadó programokat telepíthet, illetve adatokat tekinthet meg, módosíthat és törölhet, de korlátozás nélküli jogosultságokkal rendelkező új fiókokat is létrehozhat.

Noha a legtöbb esetben a nem megbízható kód nem NetworkService identitás alatt fut, a következő esetek kivételt jelentenek ez alól:

  • Az Internet Information Services (IIS) szolgáltatást az alapértelmezettől eltérő konfigurációban futtató rendszerek fokozott kockázatnak vannak kitéve (különösen a Windows Server 2003 és Windows Server 2008 rendszerek), mivel itt a NetworkService az alapértelmezett munkavégzőfolyamat-identitás.
  • Az SQL Server alkalmazást futtató rendszerek, ahol a felhasználók rendszergazda jogosultságot kapnak az SQL Server alkalmazáshoz, szintén fokozott kockázatnak vannak kitéve.
  • A Windows telefonos alkalmazási programozási interfészeket (TAPI) futtató rendszerek fokozott kockázatnak vannak kitéve.

A fenti támadási lehetőségek részleteit lásd a GYIK részben. A Microsoft nem biztonsági jellegű frissítést kínál a TAPI esethez. A nem biztonsági jellegű frissítés részleteiről lásd: Gyakran ismételt kérdések a Windows telefonos alkalmazási programozási interfész (TAPI) biztonsági résről.

Ezen felül folyamatosan együttműködünk a Microsoft Active Protections Program (MAPP) program résztvevőivel, hogy az átadott adatok alapján további védelmet nyújtsanak a felhasználóknak.

Tanácsadói részletek

Kiadás hivatkozások

A kiadással kapcsolatos további tájékoztatást az alábbi hivatkozásokon talál:

HivatkozásokAzonosítás
CVE-hivatkozás CVE-2010-1886
Microsoft Tudásbázis cikke 2264072
Microsoft tudásbáziscikk a TAPI nem biztonsági jellegű frissítéséhez 982316

Érintett és nem érintett szoftverek

A tanácsadó a következő szoftvereket tárgyalja.

Érintett szoftverek
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 SP2 Itanium alapú rendszerekhez
Windows Vista Service Pack 1 és Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 1 és Windows Vista x64 Edition Service Pack 2
Windows Server 2008 32 bites rendszerekhez, Service Pack 2*
Windows Server 2008 x64 alapú rendszerekhez, Service Pack 2*
Windows Server 2008 Itanium alapú rendszerekhez, Service Pack 2
Windows 7 32 bites rendszerekhez
Windows 7 x64 alapú rendszerekhez
Windows Server 2008 R2 x64 alapú rendszerekhez
Windows Server 2008 R2 Itanium alapú rendszerekhez

Mire terjed ki a tanácsadó hatása?  
Ez a biztonsági tanácsadó elhárítja azoknak a támadásoknak a lehetőségét, amelyek a Windows szolgáltatás elkülönítés funkciót használják fel. Ennek érdekében tisztázza a Windows szolgáltatás elkülönítés funkció megfelelő használatát és korlátait, és gondoskodik lehetséges megoldásokról.

Ez a biztonsági tanácsadó emellett értesítést küld egy választható, nem biztonsági frissítésről is, amely letölthető a Microsoft Letöltőközpontból, a Windows telefonos alkalmazási programozási interfész (TAPI) útján indított támadások elhárítására.

Olyan biztonsági résről van szó, amelyhez a Microsoftnak biztonsági frissítést kell kiadnia?  
Nem. A Windows szolgáltatás elkülönítés funkció letiltása választható konfiguráció, amelyet a felhasználók tetszés szerint telepíthetnek. Ez a funkció nem megfelelő valamennyi ügyfél számára. A Windows szolgáltatás-elkülönítés mélyreható biztonsági funkció, nem képez biztonsági hatókörhatárt, tehát ne is értelmezzék ilyen módon.

Mit jelent az, hogy Windows szolgáltatás elkülönítés funkció?  
A Windows szolgáltatás-elkülönítés funkció biztonsági rést nem javít ki, de ehelyett bizonyos ügyfelek számára hasznos mélyreható biztonsági funkciót jelent. Például a szolgáltatás elkülönítése lehetővé teszi speciális objektumok elérését magas jogosultságokkal rendelkező fiók futtatása vagy az objektum biztonsági védelmének elgyengítése nélkül. Az SQL-szolgáltatás a SID-szolgáltatást tartalmazó hozzáférési szabály használata nélkül is képes korlátozni erőforrásainak elérését. A funkcióról és megfelelő konfigurálásáról a további tudnivalókat lásd a Microsoft Tudásbázis 2264072. számú cikkében.

Mit jelent az "ügyfél megszemélyesítése hitelesítés után" jogosultság?  
Ennek a jogosultságnak egy felhasználóhoz történő hozzárendelése lehetővé teszi, hogy a kérdéses felhasználó nevében futó programok megszemélyesítsenek egy ügyfelet. Ennek a felhasználói jognak az ilyen jellegű megszemélyesítéshez történő igénybevétele megakadályozza, hogy egy jogosulatlan felhasználó rávegye az ügyfelet arra, hogy csatlakozzon (például távoli eljáráshívással (RPC) vagy nevesített csővel) egy olyan szolgáltatáshoz, amelyet ők hoztak létre, majd megszemélyesítsék ezt az ügyfelet, amely kiterjeszthetné ennek a jogosulatlan felhasználónak az engedélyeit rendszergazdai vagy rendszer-szintre.

Mi a NetworkService fiók?  
A NetworkService fiók a szolgáltatásvezérlő által használt, előre meghatározott helyi fiók. Speciális jogosultságokkal rendelkezik a helyi számítógépen, és a hálózaton számítógépként viselkedik. A NetworkService fiók környezetében futó szolgáltatás bemutatja a számítógép hitelesítő adatait a távoli kiszolgálóknak. További információért olvassa el a NetworkService fiók című MSDN-cikket.

A probléma hogy érinti az IIS szolgáltatást?  
Az Internet Information Services (IIS) keretében felhasználó által megadott kódot futtató rendszereket érintheti a probléma. Ha teljesen megbízhatóként futtat például ISAPI szűrőket, ISAPI kiterjesztéseket, illetve ASP.NET kódot, a biztonsági résnek kitett helyzet alakulhat ki.

Az IIS-kiszolgálók kevésbé vannak kitéve a tanácsadó következő helyzeteiben leírt támadások kockázatainak:

  • Az IIS 5.1, IIS 6.0 és az IIS 7.0 alapértelmezett telepítései blokkolják az ismeretlen felhasználóktól érkező támadásokat, mert az alapértelmezett konfigurációban a névtelen feltöltés nem engedélyezett.
  • Az IIS útján érkező minden ismert támadás blokkolva van, amennyiben az ASP.NET úgy van konfigurálva, hogy a teljes hozzáférés lehetőségnél alacsonyabb szinten fut.

A támadónak annak érdekében, hogy sikeres legyen egy webkiszolgálón, először hozzá kell adnia egy különleges kialakítású webes tartalmat egy IIS webhelyhez. A támadó hozzáférhet a különleges kialakított webtartalomhoz, és helyi rendszerben futtathatja a folyamatokat.

Normál esetben nem megbízható felhasználók nem tehetnek fel webes tartalmakat az IIS weboldalára. Egyes webes hosztok azonban nagyobb fenyegetettségnek vannak kitéve, mert külső fél által előállított webes tartalomhoz ajánlanak hosztinglehetőségeket.

A Windows Server 2003 és Windows Server 2008 rendszeren futó IIS alkalmazások nagyobb kockázatnak vannak kitéve, mivel itt a NetworkService az alapértelmezett munkavégzőfolyamat-identitás.

Hogyan lehet a biztonsági rést kihasználni IIS kiszolgálón?  
A támadó feltölthet egy különleges kialakítású weboldalt egy webhelyre, és ennek az oldalnak az elérését felhasználhatja jogosultságainak kiterjesztésére olyan folyamatok futtatására mint a LocalSystem. Ez jelentheti különleges kialakítású tartalom feltöltését olyan webhelyekre, amelyek elfogadnak vagy befogadnak felhasználó által biztosított tartalmakat vagy hirdetéseket. A speciálisan kialakított webes tartalom reklámcsíkok megjelenítésével, illetve más módon is eljuttatható az érintett rendszerekhez.

A probléma hogyan érinti az SQL Server működését?  
Az SQL Server alkalmazást futtató rendszereket a probléma akkor érinti, ha a felhasználó SQL Server rendszergazdai jogosultságokat kap (ezzel a felhasználó helyi programokat is futtathat). Az SQL Server rendszergazdai jogosultsággal rendelkező felhasználó speciálisan kialakított kódot futtathat, amely felhasználható támadás kivitelezésére. Ezt a jogosultságot a rendszer alapértelmezés szerint nem biztosítja.

Hogyan lehet a biztonsági rést kihasználni SQL kiszolgálón?  
Az SQL Server rendszergazdai jogosultsággal rendelkező felhasználó speciálisan kialakított kódot futtathat, amely felhasználható támadás kivitelezésére az érintett SQL kiszolgálón.

A probléma hogy érinti a TAPI szolgáltatást?  
Az arra vonatkozó információkért, hogy a Windows telefonos alkalmazási programozási interfészt (TAPI) hogyan érinti ez a probléma, olvassa el a következő szakaszt, Gyakran ismételt kérdések a Windows telefonos alkalmazási programozási interfész (TAPI) biztonsági résről - CVE-2010-1886.

Mire használhatja ezt a biztonsági rést a támadó?  
A biztonsági rést sikeresen kihasználó támadó tetszőleges kódot futtathat a LocalSystem fiók környezetében. Ezt követően a támadó programokat telepíthet, illetve adatokat tekinthet meg, módosíthat és törölhet, de korlátozás nélküli LocalSystem jogosultságokkal rendelkező új fiókokat is létrehozhat.

Mely rendszerekre jelenti a legnagyobb veszélyt a biztonsági rés?  
Minden olyan rendszer veszélyben van, amely az Áttekintés című részben felsorolt szoftvereket futtatja, de a Windows XP Professional Service Pack 3, valamint a Windows Server 2003 és a Windows Server 2008 összes támogatott verziója, amelyen IIS fut, különösen nagy veszélynek van kitéve.

Ezenkívül a probléma kiemelten érinti a programkódok feltöltését engedélyező IIS webes kiszolgálókat. Ez a webtárhely-szolgáltatókat vagy más hasonló környezeteket érintheti.

Az SQL Server rendszerek akkor válnak érintetté, ha nem megbízható felhasználók jutnak fiókhozzáféréshez.

A biztonsági tanácsadóban tárgyalt szoftvernél korábbi kiadással rendelkezem. Mi a teendő?  
Teszteléssel állapították meg a tanácsadóban tárgyalt szoftverkiadások érintettségét. A többi kiadás támogatási életciklusa végére ért. Ha többet szeretne tudni a Windows termékek életciklusáról, keresse fel a Microsoft támogatási életciklusokkal foglalkozó webhelyét.

A szoftver korábbi kiadásai felhasználóinak számára azt javasoljuk, hogy a potenciális biztonsági veszélyek elkerülése érdekében sürgősen térjenek át valamelyik támogatott kiadású szoftverre. A szoftverkiadás támogatási életciklusáról lásd a Termék kiválasztása életciklusadatok megtekintéséhez c. részt. A szoftverkiadásokhoz tartozó javítócsomagok részleteit lásd az Életcikluson át támogatott szervizcsomagok c. részben.

Azok az ügyfelek, akik további támogatást igényelnek ezekhez a korábbi verziókhoz, a támogatási lehetőségekről érdeklődjenek a Microsoft ügyfélkapcsolati képviselőjénél, a műszaki kapcsolattartótól vagy a Microsoft megfelelő partnerképviseletétől. Alliance, Premier vagy Authorized szerződéssel rendelkező felhasználóink forduljanak a Microsoft helyi értékesítési irodájához. Az elérhetőségeket keresse a Microsoft Worldwide Information webhelyen: válasszon egy országot a legördülő listából, majd az Indítás gombra kattintva jelenítse meg a telefonszámokat. Telefonáláskor keresse a helyi értékesítési menedzsert. További információ: Microsoft termékek terméktámogatási időszakával kapcsolatos, gyakran ismételt kérdések.

Hol találhatom meg a biztonsági réshez kapcsolódó nem biztonsági frissítést?  
A biztonsági frissítés csak a Microsoft letöltőközpontjából tölthető le. A frissítésről és a működés változásairól részletesen lásd a Microsoft Tudásbázis 982316. cikkét.

Mi a Windows telefonos alkalmazási programozási interfész (TAPI)?  
A TAPI-kiszolgáló (TAPISRV) a felhasználói számítógépen tárolt telefonos adatok központi tárháza. Ez a szolgáltatási folyamat nyomon követi a helyi és a távoli telefonos erőforrásokat, a kezelős telefonkérések kezelésére vonatkozó kérelmeket, és az aszinkron funkcióktól függően egy konzisztens interfészt is lehetővé tesz a telefonszolgáltatókkal (TSP-k). További információkért, valamint a TAPA-kiszolgáló és az egyéb összetevők közötti viszonyt ábrázoló és a szerepkörüket áttekintő grafikonért lásd: Microsoft telefonos programozási modell.

Mi okozza a fenyegetést?  
A biztonsági résnek az az oka, hogy a Windows telefonos alkalmazási programozási interfész (TAPI) tranzakciótámogató engedélyezi a NetworkService token megszerzését és használatát RPC-hívás közben.

Olyan biztonsági résről van szó, amelyhez a Microsoftnak biztonsági frissítést kell kiadnia?  
Nem. Ez a frissítés megvalósít egy olyan mélyreható biztonsági megoldást, amelynek telepítését az ügyfelek egy része hasznosnak tarthatja. Azoknak az ügyfeleknek, akiknek a számítógépén nem IIS vagy SQL fut, vagy akik megvalósították az alábbiakban felsorolt lehetséges megoldásokat, alkalmazás előtt ki kell értékelniük ezt a mélyreható biztonsági megoldás frissítést.

Ez egy biztonsági tanácsadó, amely nem biztonsági célú frissítéssel foglalkozik. Nem ellentmondásos ez?  
A biztonsági tanácsadók olyan biztonsági változásokkal foglalkoznak, melyek nem igényelnek biztonsági közleményt, mégis érinthetik az ügyfél teljes körű biztonságát. A biztonsági tanácsadókban a Microsoft tájékoztatja ügyfeleit a biztonsági résnek nem minősülő és biztonsági közleményt nem igénylő biztonsági jellegű információkról, vagy olyan témákról, melyekről nem adtak ki biztonsági közleményt. Jelen esetben egy olyan frissítés meglétéről tájékoztatjuk, mely hatással van a későbbi frissítések (köztük biztonsági frissítések) végrehajtására. Tehát a tanácsadó nem egy adott biztonsági réssel foglalkozik; inkább az ügyfél teljes körű biztonságát tartja szem előtt.

Miért bocsát ki a Microsoft frissítést ehhez az összetevőhöz?  
Jóllehet ez nem biztonsági rés, amelyről biztonsági frissítést kell kiadni, a támadó kiterjesztheti jogosultságait a NetworkService jogosultságról a LocalSystem szintre a TAPI szolgáltatás használatával, amely rendszerként fut. Ennek a problémának a kihasználásához a támadónak már kiterjesztett jogosultsággal kell rendelkeznie. Ezt a szolgáltatás-elkülönítést csak mélyreható biztonsági eljárásként valósították meg, és nem alkot biztonsági hatókörhatárt.

Mely rendszerekre jelenti a legnagyobb veszélyt a biztonsági rés?  
Elsősorban a Windows telefonos alkalmazási programozási interfészeket (TAPI) futtató rendszerek fenyegetettek. Az érintett rendszerek az Áttekintés részben olvashatóak. Fokozottan veszélyeztetettek a Windows XP Professional Service Pack 3 és a Windows Server 2003 Windows Server 2008 rendszerek IIS -t futtató típusai, az IIS webkiszolgálók, amelyek engedélyezik, hogy a felhasználó kódokat töltsön fel és az SQL Server rendszerek, ahol a megbízhatatlan felhasználók hozzáférhetnek magasabb szintű jogosultságokhoz is. Ez a webtárhely-szolgáltatókat vagy más hasonló környezeteket érintheti.

Mire használhatja ezt a biztonsági rést a támadó?  
A biztonsági rést sikeresen kihasználó támadó különlegesen kialakított kódot futtathat rendszer szintű jogosultságokkal. Ezt követően a támadó programokat telepíthet, illetve adatokat tekinthet meg, módosíthat és törölhet, de korlátozás nélküli jogosultságokkal rendelkező új fiókokat is létrehozhat. A probléma a sikeres kihasználásához a támadónak már kell rendelkeznie engedéllyel olyan kódok futtatására mint a Network Service.

A hibát enyhítő tényezők

Az enyhítő tényezők közé sorolható egy beállítás, konfiguráció vagy általánosan bevált gyakorlat, amely alapértelmezett állapotában csökkentheti a biztonsági rés kihasználásának valószínűségét. A következő enyhítő tényezők hasznosnak bizonyulhatnak:

  • A támadónak ennek a biztonsági résnek a kihasználásához képesnek kell lennie olyan kódokat futtatni a célrendszeren mint a NetworkService fiók.
  • Az alapértelmezett beállításokat használó IIS-kiszolgálót ez a probléma nem érinti.

Lehetséges megoldások

A lehetséges megoldás olyan beállítást vagy konfigurációs módosítást takar, amely magát a problémát nem szünteti meg, azonban a biztonsági frissítés elérhetővé tétele előtt segít az ismert támadási lehetőségek kivédésében. A Microsoft alaposan megvizsgálta a következő lehetséges megoldásokat, és tájékoztatja a felhasználókat, amennyiben a megoldás csökkenti a működőképességet:

  • Konfigurálja az WPI-t az alkalmazáskészletekhez az IIS-ben

    IIS 6.0 esetén hajtsa végre a következő lépéseket.

    1. Az IIS Manager helyen bontsa ki a helyi számítógépet, majd az Alkalmazáskészletek elemet, jobb gombbal kattintson az adott készletre, és válassza ki a Tulajdonságok pontot.
    2. Kattintson az Identitás lapra, majd a Konfigurálható elemre. A Felhasználónév és a Jelszó mezőbe írja be annak a fiókfelhasználónak a nevét és jelszavát, amelyhez kapcsolódóan működtetni kívánja a munkavégző folyamatot.
    3. A kiválasztott felhasználói fiókot adja hozzá az IIS_WPG csoporthoz.

    IIS 7.0 és újabb verziók esetén hajtsa végre a következő lépéseket.

    1. Emelt szintű parancssorban navigáljon a %systemroot%\system32\inetsrv könyvtárba.
    2. A következő szintaxissal futassa az APPCMD.exe parancsot, ahol a karakterlánc az alkalmazáskészlet neve, a; userName:karakterlánc az alkalmazáskészlethez rendelt fiók neve; a jelszó:karakterlánc pedig a fiók jelszava.

      appcmd set config /section:applicationPools /

      [name='string'].processModel.identityType:SpecificUser /

      [name='string'].processModel.userName:string /

      [name='string'].processModel.password:string
  • A nem biztonsági frissítések alkalmazása CVE-2010-1886 esetén

    Alkalmazza a Windows telefonos alkalmazási programozási interfészeket (TAPI) futtató rendszerek nem biztonsági jellegű frissítését (CVE-2010-1886), amelyet csak a Microsoft Letöltőközpontjából tölthet le. A frissítésről és a működés változásairól részletesen lásd a Microsoft Tudásbázis 982316. cikkét.

További ajánlott teendők

  • Védje számítógépét

    Arra ösztönözzük ügyfeleinket, hogy kövessék A számítógép védelme útmutatásait a tűzfal használatával kapcsolatban, töltsék le a szoftverfrissítéseket és telepítsenek víruskereső szoftvereket. Ügyfeleink többet is megtudhatnak ezekről a lépésekről, ha meglátogatják az A számítógép védelme webhelyet.

    A biztonságos internetezésről a Microsoft biztonsági honlapján található további információ.

  • Tartsa naprakészen Windows rendszerét

    A lehetséges legnagyobb biztonság érdekében a Windows minden felhasználójának a Microsoft legújabb biztonsági frissítéseit kell használnia. Ha nem biztos abban, hogy szoftvere naprakész-e, látogasson el a Windows Update webhelyre, ellenőrizze számítógépén az elérhető frissítéseket, és telepítse a felkínált magas prioritású frissítéseket. Ha engedélyezte az Automatikus frissítés funkciót, már a nyilvánosságra hozatal időpontjában hozzájuthat a frissítésekhez, csak telepítenie kell őket.

Egyéb információ

Köszönetnyilvánítás

A Microsoft köszönetét fejezi ki a vásárlók védelmének biztosításában nyújtott segítségért az alábbi szervezet(ek)nek és szakember(ek)nek:

  • Cesar Cerrudo, Argeniss, a Windows telefonos alkalmazási programozási interfészeket (TAPI) fenyegető biztonsági rés (CVE-2010-1886) jelentéséért

Microsoft Active Protections Program (MAPP)

Az ügyfelek védelmének növelése érdekében a biztonsági szoftverekkel foglalkozó nagyobb gyártók a Microsoft a havi biztonsági közlemények megjelenése előtt ellátja biztonsági résekkel kapcsolatos információkkal. Így a biztonságiszoftver-gyártók a kapott biztonsági résekkel kapcsolatos információt felhasználhatják ügyfeleik hatásosabb védelmére az olyan biztonsági szoftverek vagy eszközök (például víruskeresők, hálózati behatolásérzékelő rendszerek vagy kiszolgálóalapú behatolásvédelmi rendszerek) frissítése által. A biztonságiszoftver-gyártók által kiadott aktív védelem elérhetőségéről a Microsoft Active Protections Program (MAPP) Partners webhelyén található listán szereplő és a programban részt vevő gyártók aktív védelmi webhelyein tájékozódhat.

Visszajelzés

Terméktámogatás

Felelősséget kizáró nyilatkozat

A jelen tanácsadó tartalmáért a Microsoft nem vállal garanciát. A Microsoft egyben elhárít minden kifejezett és értelemszerű garanciát, beleértve az eladhatóságra és az adott célra való alkalmasságra vonatkozó garanciát is. A Microsoft Corporation vagy annak szállítói semmilyen körülmények között nem tehetők felelőssé közvetlen, közvetett, eseti, ok-okozati vagy különleges kárért (beleértve az elmaradt hasznot is), még akkor sem, ha a Microsoft Corporation vagy szállítói tudatában voltak a kár lehetséges voltának. Egyes államok törvényi szabályozása nem teszi lehetővé a véletlen vagy ok-okozati károkért vállalt felelősség korlátozását vagy kizárását, így ezekben az államokban az ez a felelősségkizárás nincs érvényben.

Verziók

  • 1.0 verzió (2010. augusztus 10.): Tanácsadó közzététele.

Built at 2014-04-18T01:50:00Z-07:00

Megjelenítés: