Microsofts sikkerhetsveiledning 914457
Mulig sikkerhetsproblem i tilgangskontrollister for Windows-tjenester
Publisert: 7. februar 2006
Microsoft er oppmerksom på publisert informasjon og konseptbeviskode som forsøker å utvide tilgangskontroller på tredjeparters (det vil si fra andre enn Microsoft) programtjenester. Denne koden forsøker å utnytte standardtjenester på Windows XP Service Pack 1 og Windows Server 2003. Hvis disse forsøkene lykkes, kan en bruker med få brukerrettigheter utvide sine rettigheter.
Microsoft har undersøkt disse rapportene, og resultatene vises i tabellen nedenfor. Microsoft har bekreftet at kunder som kjører Windows XP Service Pack 2 og Windows Server 2003 Service Pack 1, ikke er sårbare overfor disse sikkerhetsproblemene fordi sikkerhetsrelaterte endringer er gjort i disse opprettingspakkene som en del av den kontinuerlige prosessen med å forbedre sikkerheten. Brukerne som kjører Windows XP Service Pack 1 og Windows Server 2003 Gold, kan være sårbare, men risikoen er redusert for brukere av Windows Server 2003.
Brukere oppfordres til å kontakte leverandørene av programvare fra tredjeparter for produkter som trenger disse tjenestene, for å fastslå om Windows-tjenester som ikke er standard, berøres.
Microsoft har foreløpig ikke kjennskap til noen angrep der det rapporterte sikkerhetsproblemet er blitt forsøkt utnyttet, eller til kunder som er berørt. Microsoft vil fortsette å undersøke offentliggjorte rapporter for å gi ytterligere hjelp til kundene ved behov.
Begrensende faktorer:
- De nyeste Microsoft-operativsystemene, inkludert Windows XP Service Pack 2 og Windows Server 2003 Service Pack 1, er ikke sårbare overfor disse sikkerhetsproblemene.
- En ondsinnet bruker som starter et angrep basert på denne rapporten, trenger minst godkjent brukertilgang til de berørte operativsystemene
- To av de fire tjenestene som identifiseres i rapporten (NetBT og CardSvr), krever at en angriper allerede kjører i en opphøyet sikkerhetskontekst. I tillegg er de to tjenestene som tillater angrep fra en godkjent bruker, bare sårbare på Windows XP Service Pack 1.
- Gode fremgangsmåter for brannmurer og vanlige standard brannmurkonfigurasjoner kan beskytte mot angrep som kommer utenfra virksomheten. Det anbefales også at personlige brannmurer brukes innenfor et nettverk, og at systemer som er koblet til Internett, har færrest mulig synlige porter.
Generell informasjon
Oversikt
Målet med veiledningen: Å meddele om at det finnes en oppdatering som bidrar til beskyttelse mot denne potensielle risikoen.
Status for veiledningen: Veiledning publisert
Anbefaling: Les gjennom de foreslåtte handlingene og konfigurer tilgangslister for tjenester etter behov. Installer Windows XP Service Pack 2, Windows Server 2003 Service Pack 1 for å beskytte deg mot dette sikkerhetsproblemet.
| Referanser | Identifisering |
|---|---|
| CERT-referanse | VU#953860 |
| CVE-referanse | CAN-2006-0023 |
| Oppdateringspakker | Windows XP Service Pack 2 og Windows Server 2003 Service Pack 1 |
Denne veiledningen gjelder for følgende Windows-operativsystemer og standard Windows-tjenester.
| Operativsystem | UPnP | NetBT | SCardSvr | SSDP |
|---|---|---|---|---|
| Microsoft Windows XP Service Pack 1 | Ja | Ja | Ja | Ja |
| Microsoft Windows XP Service Pack 2 | Nei | Nei | Nei | Nei |
| Windows Server 2003 | * | Ja | Nei | * |
| Microsoft Windows Server 2003 Service Pack 1 | * | Nei | Nei | * |
Obs! De identifiserte tjenestene i andre operativsystemer enn x86-operativsystemer viser til de identifiserte tjenestene i x86-operativsystemer som følger:
- De identifiserte tjenestene i Microsoft Windows XP Professional x64 Edition er de samme som de identifiserte tjenestene i Windows XP Service Pack 2.
- De identifiserte tjenestene i Microsoft Windows Server 2003 for Itanium er de samme som de identifiserte tjenestene i Windows Server 2003.
- De identifiserte tjenestene i Microsoft Windows Server 2003 SP1 for Itanium er de samme som de identifiserte tjenestene i Windows Server 2003 Service Pack 1.
- De identifiserte tjenestene i Microsoft Windows Server 2003 x64 Edition er de samme som de identifiserte tjenestene i Windows Server 2003 Service Pack 1.
Obs! I denne tabellen betyr * at den berørte tjenesten ikke finnes på det identifiserte operativsystemet.
Obs! I denne tabellen betyr Ja at den berørte tjenesten finnes på det identifiserte operativsystemet, og at den er sårbar overfor et angrep fra en godkjent bruker.
Obs! I denne tabellen betyr Nei at den berørte tjenesten finnes på det identifiserte operativsystemet, og at den ikke er sårbar overfor et angrep.
Vanlige spørsmål
Hva behandles i veiledningen?
Microsoft er oppmerksom på offentligjorte rapporter om mulige sikkerhetsproblemer i Windows XP Service Pack 1 og Windows Server 2003. Disse sikkerhetsproblemene ble oppdaget av et verktøy som er utviklet av en sikkerhetsforsker. Disse sikkerhetsproblemene kan tillate en godkjent, ondsinnet bruker å starte et angrep som fører til rettighetsutvidelse. En angriper kan endre standard binærkode som er knyttet til de berørte tjenestene. Deretter kan en angriper stoppe og starte tjenestene for å kjøre et ondsinnet program eller en binærkode.
Er dette et sikkerhetsproblem som krever at Microsoft gir ut en sikkerhetsoppdatering?
Microsoft undersøker fremdeles dette sikkerhetsproblemet. Dette sikkerhetsproblemet påvirker ikke kunder som har installert Windows XP Service Pack 2 eller Windows Server 2003 Service Pack 1. Denne veiledningen inneholder opplysninger om midlertidige løsninger og informasjon som gjør at administratorer kan bruke utvidede tilgangskontroller til å fjerne sikkerhetsproblemet.
Hva forårsaker denne risikoen?
På Windows XP Service Pack 1 og Windows Server 2003 angis tillatelser på de identifiserte Windows-tjenestene som standard til et nivå som kan tillate en bruker med få rettigheter å endre egenskapene knyttet til tjenesten
Hvordan kan en angriper utnytte denne funksjonen?
Ved å endre det tilknyttede programmet som er angitt som standard for å kjøre en identifisert tjeneste, kan en bruker med få rettigheter kjøre kommandoer eller kjørbare filer som vanligvis krever flere rettigheter.
Hvilke versjoner av Windows berøres av denne veiledningen?
Denne veiledningen omhandler sikkerhetsproblemer i Windows XP Service Pack 1 og Windows Server 2003. Windows XP Service Pack 2 og Windows Server 2003 Service Pack 1 berøres ikke av dette sikkerhetsproblemet.
Forslag til tiltak
Brukere og administratorer som vil beskytte seg mot dette sikkerhetsproblemet, kan ha nytte av informasjonen nedenfor.
Beskytt din PC
Vi fortsetter å oppmuntre kunder til å følge våre råd om beskyttelse av PCen og aktivere en brannmur, laste ned programvareoppdateringer og installere antivirusprogramvare. Kunder kan lese mer om dette på webområdet Beskytt din PC.
Kunder kan finne mer informasjon om sikkerhet på Internett påhjemmesiden for Microsoft-sikkerhet.
Hold Windows oppdatert
Alle Windows-brukere bør bruke de nyeste Microsoft-sikkerhetsoppdateringene for å bidra til at datamaskinene har høyest mulig beskyttelse. Hvis du ikke er sikker på om programvaren er oppdatert, går du til webområdet Windows Update, søker etter tilgjengelige oppdateringer for datamaskinen og installerer alle høyt prioriterte oppdateringer som du får tilbud om. Hvis du har aktivert Automatiske oppdateringer, leveres oppdateringene til deg når de utgis, men du må påse at du installerer dem.
Løsninger
Microsoft har testet de midlertidige løsningene nedenfor. De identifiserte midlertidige løsningene endrer standard tilgangskontrollister (ACLer) på Windows XP Service Pack 1 og Windows Server til tilgangskontrollister med utvidet sikkerhet som brukes på Windows XP Service Pack 2 og Windows Server 2003 Service Pack 1. De anses derfor som fullstendige løsninger for dette problemet.
Fordi de anbefalte tilgangskontrollene har fulgt med de nyeste operativsystemene over lengre tid, er det svært liten sannsynlighet for at dette sikkerhetsproblemet vil forekomme på disse. Endring av tilgangskontrollister medfører imidlertid en viss risiko for programinkompatibilitet.
Bruk sc.exe-kommandoen til å angi endrede tilgangskontroller for de identifiserte tjenestene.
Du må kjøre sc.exe-kommandoen som en bruker med privilegier. Du kan kjøre denne kommandoen ved å bruke et oppstartsskript for datamaskin eller ved å bruke et SMS-skript. Ved å kjøre denne kommandoen kan du øke sikkerheten til tilgangskontrollistene slik at de er på samme nivå som Windows XP Service Pack 2 og Windows Server 2003 Service Pack 1. Hvis du vil ha mer informasjon om sc.exe-kommandoen og om hvordan du angir tilgangskontrollister, kan du se i følgende produktdokumentasjon fra Microsoft. Denne løsningen krever ikke at du starter datamaskinen på nytt.
For Windows XP Service Pack 1 kjører du alle disse kommandoene. Hver kommando endrer tilgangskontrollisten for den tilknyttede berørte tjenesten.
sc sdset ssdpsrv D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPLORC;;;AU)(A;;RPWPDTRC;;;LS)
sc sdset netbt D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;DT;;;LS)(A;;DT;;;NS)(A;;CCLCSWRPLOCRRC;;;NO)
sc sdset upnphost
D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPLORC;;;AU)(A;;CCDCLCSWLOCRRC;;;LS)
sc sdset scardsvr D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCLCSWRPWPDTLOCRRC;;;LS)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPLOCRRC;;;S-1-2-0)
For Windows Server 2003 kjører du følgende kommando for den berørte tjenesten.
sc sdset netbt D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;DT;;;LS)(A;;DT;;;NS)(A;;CCLCSWRPLOCRRC;;;NO)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
Obs! For Windows Server 2003 er NetBt den eneste identifiserte berørte tjenesten. I Windows 2003-scenariet må et angrep startes av et medlem av gruppen Nettverkskonfigurasjonsoperatører. Denne gruppen er tom som standard, og det er sjelden at noe blir lagt til*.*
Hva løsningen kan føre til: Ingenting
Bruk Gruppepolicy til å distribuere endrede tilgangskontroller for de identifiserte tjenestene
Domeneadministratorer kan bruke Gruppepolicy og sikkerhetsmalene til å distribuere endrede tilgangskontroller på Windows XP Service Pack 1-systemer. Hvis du vil ha mer informasjon om hvordan du implementerer sikkerhetsmaler ved hjelp av Gruppepolicy, kan du lese Microsoft Knowledge Base-artikkel 816585. Du trenger ikke å starte datamaskinen på nytt for å fullføre denne løsningen.
For Windows XP Service Pack 1 bruker du følgende sikkerhetsmal til å endre alle de berørte standard Windows-tjenestene.
[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[Service General Setting]
SSDPSRV,2,"D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-32-549)(A;;CCLCSWRPLORC;;;AU)(A;;RPWPDTRC;;;S-1-5-19)"
upnphost,2,"D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-32-549)(A;;CCLCSWRPLORC;;;AU)(A;;CCDCLCSWLOCRRC;;;S-1-5-19)"
scardsvr,2,"D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCLCSWRPWPDTLOCRRC;;;S-1-5-19)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-32-549)(A;;CCLCSWRPLOCRRC;;;S-1-2-0)"
Obs! For Windows Server 2003 er NetBt den eneste identifiserte berørte tjenesten. Du kan ikke endre denne tjenesten ved å bruke Gruppepolicy. Det følger derfor ikke med noen mal i denne veiledningen. I Windows 2003-scenariet må et angrep startes av et medlem av gruppen Nettverkskonfigurasjonsoperatører. Denne gruppen er tom som standard, og det er sjelden at noe blir lagt til.
Hva løsningen kan føre til: I tillegg til å angi tilgangskontrollistene for tjenestene til det samme som de i Windows XP Service Pack 2, tilbakestiller den medfølgende sikkerhetsmalen oppstartstypen for den berørte tjenesten til den opprinnelige standardkonfigurasjonen som er "Automatic".
Endre Windows-registeret for å endre tilgangskontroller for hver av de identifiserte tjenestene
Den foretrukne metoden for endring av tjenester er å bruke sc.exe-kommandoen. Du kan imidlertid bruke følgende kommando til å endre tilgangskontrollistene for sikkerhet for de berørte tjenestene til samme nivå som Windows XP Service Pack 2. Brukere oppfordres til å sikkerhetskopiere registeret før de gjør noen endringer. Hvis du vil ha mer informasjon om registerskript og om hvordan du endrer Windows-registeret, kan du lese Microsoft Knowledge Base-artikkel 214752.
For Windows XP Service Pack 1 bruker du følgende registerskript til å endre alle de berørte standard Windows-tjenestene.
For SSDPSRV-tjenesten:
reg add HKLM\System\CurrentControlSet\Services\SSDPSRV\Security /v Security /t REG_BINARY /d _
01001480bc000000c8000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
00002008c000600000000001400ff010f0001010000000000051200000000001800ff010f00010200000000000520_
0000002002000000001800fd0102000102000000000005200000002302000000001800ff010f00010200000000000_
52000000025020000000014009d00020001010000000000050b000000000014007000020001010000000000051300_
0000010100000000000512000000010100000000000512000000
For NetBT-tjenesten:
reg add HKLM\System\CurrentControlSet\Services\netbt\Security /v Security /t REG_BINARY /d _
01001480e8000000f4000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
0000200b80008000000000014008d01020001010000000000050b000000000018009d010200010200000000000520_
0000002302000000001800ff010f000102000000000005200000002002000000001800ff010f00010200000000000_
5200000002502000000001400fd010200010100000000000512000000000014004000000001010000000000051300_
00000000140040000000010100000000000514000000000018009d0102000102000000000005200000002c0200000_
10100000000000512000000010100000000000512000000
For UPnPhost-tjenesten:
reg add HKLM\System\CurrentControlSet\Services\upnphost\Security /v Security /t REG_BINARY /d _
01001480bc000000c8000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
00002008c000600000000001400ff010f0001010000000000051200000000001800ff010f00010200000000000520_
0000002002000000001800fd0102000102000000000005200000002302000000001800ff010f00010200000000000_
52000000025020000000014009d00020001010000000000050b000000000014008f01020001010000000000051300_
0000010100000000000512000000010100000000000512000000
For ScardSvr-tjenesten:
reg add HKLM\System\CurrentControlSet\Services\scardsvr\Security /v Security /t REG_BINARY /d _
01001480a4000000b0000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
000020074000500000000001400fd01020001010000000000051200000000001400fd010200010100000000000513_
00000000001800ff010f000102000000000005200000002002000000001800ff010f0001020000000000052000000_
025020000000014009d01020001010000000000020000000001010000000000051200000001010000000000051200_
0000
For Windows Server 2003 endrer du følgende registernøkkel for å endre den berørte standard Windows 2003-tjenesten.
For NetBT-tjenesten:
reg add HKLM\System\CurrentControlSet\Services\netbt\Security /v Security /t REG_BINARY /d _
01001480e8000000f4000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
0000200b80008000000000014008d01020001010000000000050b000000000018009d010200010200000000000520_
0000002302000000001800ff010f000102000000000005200000002002000000001800ff010f00010200000000000_
5200000002502000000001400fd010200010100000000000512000000000014004000000001010000000000051300_
00000000140040000000010100000000000514000000000018009d0102000102000000000005200000002c0200000_
10100000000000512000000010100000000000512000000
Obs! Registernøkkelverdiene som det refereres til ovenfor, er brutt på grunn av formatering. Tegnet _ og linjeskift må fjernes for at kommandoen skal utføres riktig.
Hva løsningen kan føre til: In addition to setting the services ACLs the same as those for Windows Server 2003 Service Pack 1 You do not have to restart the computer to complete this mitigation.
Annen informasjon
Ressurser:
- Du kan gi oss tilbakemelding ved å fylle ut skjemaet på følgende webområde.
- Kunder i USA og Canada kan få kundestøtte hos Microsoft Product Support Services. Du finner mer informasjon om tilgjengelige alternativer for støtte, ved å gå til webområdet Microsoft Hjelp og støtte.
- Internasjonale kunder kan få kundestøtte fra de lokale representasjonskontorene for Microsoft. Hvis du vil ha mer informasjon om hvordan du kontakter Microsoft angående internasjonale kundestøtteproblemer, går du til webområdet for internasjonal støtte.
- Webområdet Microsoft TechNet Security gir ytterligere informasjon om sikkerhet for Microsoft-produkter.
Ansvarsfraskrivelse:
Informasjonen i denne veiledningen tilbys som den er, uten noen form for garanti. Microsoft fraskriver seg ethvert ansvar, enten direkte eller indirekte, herunder garantier om salgbarhet og anvendelighet for særskilte formål. Microsoft Corporation eller dets leverandører skal ikke under noen omstendigheter holdes ansvarlig for noen skader eller tap herunder direkte, indirekte eller tilfeldige skader eller tap, konsekvenstap, tap av inntekter eller spesielle skader, også i tilfeller der Microsoft Corporation eller dets leverandører er underrettet om muligheten for slike skader eller tap. Ettersom enkelte land ikke tillater fraskrivelse eller begrensning av ansvar for følgeskade eller tilfeldig skade, kan det hende at ovennevnte begrensning ikke gjelder.
Revisjoner:
- 7. februar 2006: Veiledning publisert
- 7. februar 2006: Lagt til linjeskift i Gruppepolicy-sikkerhetsmalen for midlertidig løsning for Windows XP Service Pack 1
Built at 2014-04-18T01:50:00Z-07:00