Microsoft 安全公告 MS14-062 - 重要提示
消息队列服务中的漏洞可能允许特权提升(2993254)
发布时间: 2014 年 10 月 14 日
版本: 1.0
常规信息
执行摘要
此安全更新解决了 Microsoft Windows 中公开披露的漏洞。 如果攻击者向消息队列服务发送专门制作的输入/输出控制(IOCTL)请求,则此漏洞可能会允许提升特权。 成功利用此漏洞可能会导致对受影响的系统完全访问权限。 默认情况下,消息队列组件未安装在任何受影响的操作系统版本上,并且只能由具有管理权限的用户启用。 只有手动启用消息队列组件的客户可能容易受到此问题影响。
对于所有受支持的 Windows Server 2003 版本,此安全更新都被评为“重要”。 有关详细信息,请参阅 “受影响的软件 ”部分。
安全更新通过修改消息队列服务在将数据传递到分配的缓冲区之前验证输入数据的方式来解决漏洞。 有关漏洞的详细信息,请参阅 本公告后面的特定漏洞的常见问题解答(常见问题解答) 小节。
建议。 大多数客户已启用自动更新,无需采取任何操作,因为将自动下载并安装此安全更新。 有关自动更新中的特定配置选项的信息,请参阅 Microsoft 知识库文章294871。 对于未启用自动更新的客户,“打开或关闭自动更新”中的步骤可用于启用自动更新。
对于管理员和企业安装,或想要手动安装此安全更新的最终用户(包括未启用自动更新的客户),****Microsoft 建议客户尽早使用更新管理软件应用更新,或者检查使用 Microsoft 更新服务进行更新。 此公告后面的“受影响的软件”表中的下载链接也提供了这些更新。
有关其他指南,请参阅 本公告中的“检测和部署工具和指南 ”部分。
知识库文章
- 知识库文章: 2993254
- 文件信息:是
- SHA1/SHA2 哈希:是
- 已知问题:无
受影响的软件
以下软件版本或版本受到影响。 未列出的版本或版本要么超过其支持生命周期,要么不受影响。 若要确定软件版本或版本的支持生命周期,请参阅Microsoft 支持部门生命周期。
| 操作系统 | 最大安全影响 | 聚合严重性分级 | 已替换汇报 |
|---|---|---|---|
| Windows Server 2003 | |||
| Windows Server 2003 Service Pack 2 (2993254) | 权限提升 | 重要 | MS09-040 中的 971032 |
| Windows Server 2003 x64 版本 Service Pack 2 (2993254) | 权限提升 | 重要 | MS09-040 中的 971032 |
| Windows Server 2003 SP2 for Itanium based Systems (2993254) | 权限提升 | 重要 | MS09-040 中的 971032 |
更新常见问题解答
我使用的是此安全公告中讨论的软件的较旧版本。 应采取何种操作?
此公告中列出的受影响的软件已经过测试,以确定哪些版本受到影响。 其他版本已超过其支持生命周期。 有关产品生命周期的详细信息,请参阅Microsoft 支持部门生命周期网站。
对于具有较旧版本的软件的客户来说,这应该是一个优先事项,可以迁移到受支持的版本,以防止潜在的漏洞暴露。 若要确定软件版本的支持生命周期,请参阅 “选择产品生命周期信息”。 有关这些软件版本的 Service Pack 的详细信息,请参阅 Service Pack 生命周期支持策略。
需要旧版软件自定义支持的客户必须联系其 Microsoft 帐户团队代表、其技术客户经理或相应的 Microsoft 合作伙伴代表以获取自定义支持选项。 没有联盟、顶级或授权合同的客户可以与其当地的 Microsoft 销售办公室联系。 有关联系信息,请参阅 Microsoft 全球信息 网站,然后选择国家/地区以查看电话号码列表。 呼叫时,请与当地顶级支持销售经理交谈。 有关详细信息,请参阅Microsoft 支持部门生命周期策略常见问题解答。
严重性分级和漏洞标识符
以下严重性分级假定漏洞的潜在最大影响。 有关此安全公告发布后 30 天内漏洞的可利用性及其严重性评级和安全影响的信息,请参阅 10 月公告摘要中的 Exploitability Index。 有关详细信息,请参阅 Microsoft Exploitability Index。
| 受影响的软件的漏洞严重性分级和最大安全影响 | ||
|---|---|---|
| 受影响的软件 | MQAC 任意写入权限提升漏洞 - CVE-2014-4971 | 聚合严重性分级 |
| Windows Server 2003 | ||
| Windows Server 2003 Service Pack 2 (2993254) | 重要 特权提升 | 重要说明 |
| Windows Server 2003 x64 版本 Service Pack 2 (2993254) | 重要 特权提升 | 重要说明 |
| Windows Server 2003 SP2 for Itanium 基于系统(2993254) | 重要 特权提升 | 重要说明 |
MQAC 任意写入权限提升漏洞 - CVE-2014-4971
Microsoft 消息队列 (MSMQ) 服务中存在一个漏洞,该服务可能允许攻击者提升目标系统上的特权。
若要将此漏洞视为常见漏洞和公开列表中的标准条目,请参阅 CVE-2014-4971。
缓解因素
缓解是指在默认状态下存在的设置、常见配置或一般最佳做法,这可能会降低漏洞利用的严重性。 以下缓解因素可能对你的情况有所帮助:
- 默认情况下,消息队列组件未安装在任何受影响的操作系统版本上,并且只能由具有管理权限的用户启用。 只有手动启用消息队列组件的客户可能容易受到此问题影响。
- 攻击者必须具有有效的登录凭据,并且能够在本地登录以利用此漏洞。 无法远程或匿名用户利用该漏洞。
解决方法
解决方法是指未更正基础漏洞的设置或配置更改,但有助于在应用更新之前阻止已知的攻击途径。 Microsoft 在讨论解决方法是否减少功能时测试了以下解决方法和状态:
禁用消息队列服务:
交互式
禁用消息队列服务有助于防止受影响的系统尝试利用此漏洞。 若要禁用消息队列服务,请执行以下步骤:- 单击「开始」,然后单击“控制面板”。 或者,指向设置,然后单击控制面板。
- 双击 “管理工具” 。 或者,单击“切换到经典视图”,然后双击管理员工具。
- 双击 “服务”。
- 双击“ 消息队列”。
- 在 “启动类型 ”列表中,单击“ 已禁用”。
- 单击“停止”,然后单击“确定”。
按组策略:
使用组策略设置禁用消息队列服务。 可以在本地、站点、域或组织单位级别禁用此服务的启动,方法是在 Microsoft Windows 2000 域环境或 Windows Server 2003 域环境中使用组策略对象功能。请注意 ,还可以查看 Windows Server 2003 安全指南。 本指南包含有关如何禁用服务的信息。 有关组策略的详细信息,请访问以下 Microsoft 网站:
还可以在命令提示符处使用以下命令来停止和禁用 MSMQ 服务(在 Windows XP 和 Microsoft Windows 2000 资源工具包中可用):
Sc stop MSMQ & sc config MSMQ start= disabled
如何撤消解决方法: 使用上述步骤将启动类型设置为“自动”并启动服务。
常见问题解答
漏洞的范围是什么?
这是特权提升漏洞。
导致漏洞的原因是什么?
当消息队列服务无意中允许覆盖处理内存中的对象时,会导致该漏洞。
什么是 Microsoft 消息队列(MSMQ)?
Microsoft 消息队列(MSMQ)技术使在不同时间运行的应用程序能够跨异类网络和可能暂时脱机的系统进行通信。 应用程序将消息发送到队列,并从队列中读取消息。 消息队列提供了有保证的消息送达、高效路由、安全性以及基于优先级的消息传递。 它可以用于实现异步和同步消息传递方案的解决方案。 有关详细信息,请参阅 Microsoft 消息队列产品文档。
什么是输入/输出控件(IOCTL)?
Windows 为应用程序提供直接请求设备驱动程序服务的功能。 完成此操作的接口称为输入/输出控件或 IOCTL。
攻击者可能使用漏洞执行哪些操作?
成功利用此漏洞的攻击者可以完全控制受影响的系统。 然后,攻击者可能会安装程序、查看更改项或删除数据,还可能会使用完全用户权限创建新的帐户。
攻击者如何利用漏洞?
攻击者可以通过向消息队列服务发送专门制作的 IOCTL 请求来利用此漏洞。 成功利用此漏洞可能会导致对受影响的系统完全访问权限。
哪些系统主要面临漏洞的风险?
运行消息队列服务的工作站和服务器主要面临此漏洞的风险。
更新的作用是什么?
更新通过修改 MSMQ 服务在将数据传递到分配的缓冲区之前验证输入数据的方式来解决漏洞。
发布此安全公告后,是否已公开披露此漏洞?
是的。 此漏洞已公开披露。 它已分配了常见漏洞和公开号码 CVE-2014-4971。
发布此安全公告后,Microsoft 是否收到了有关此漏洞被利用的任何报告?
否。 当最初发布此安全公告时,Microsoft 未收到任何信息,表明此漏洞已公开用于攻击客户。
检测和部署工具和指南
多个资源可用于帮助管理员部署安全更新。
- Microsoft 基线安全分析器(MBSA)允许管理员扫描本地和远程系统,以查找缺少安全更新和常见安全配置错误。
- Windows Server Update Services (WSUS)、系统管理服务器(SMS)和 System Center Configuration Manager 可帮助管理员分发安全更新。
- 应用程序兼容性工具包随附的更新兼容性计算器组件有助于简化针对已安装应用程序的 Windows 更新测试和验证。
有关这些工具和可用的其他工具的信息,请参阅 适用于 IT 专业人员的安全工具。
安全更新部署
Windows Server 2003 (所有版本)
引用表
下表包含此软件的安全更新信息。
| 安全更新文件名 | 对于所有受支持的 32 位版本的 Windows Server 2003:\ WindowsServer2003-知识库(KB)2993254-x86-ENU.exe |
|---|---|
| \ | 对于所有受支持的基于 x64 的 Windows Server 2003:\ WindowsServer2003-知识库(KB)2993254-x64-ENU.exe |
| \ | 对于所有受支持的基于 Itanium 的 Windows Server 2003:\ WindowsServer2003-知识库(KB)2993254-ia64-ENU.exe |
| 安装开关 | 请参阅 Microsoft 知识库文章934307 |
| 更新日志文件 | 知识库(KB)2993254.log |
| 重启要求 | 是的,应用此安全更新后,必须重启系统。 |
| “删除”信息 | 在 %Windir%$NTUninstall知识库(KB)2993254$\Spuninst 文件夹中使用控制面板或Spuninst.exe实用工具中的“添加或删除程序”项 |
| 文件信息 | 请参阅 Microsoft 知识库文章2993254 |
| 注册表项验证 | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows Server 2003\SP3\知识库(KB)2993254\Filelist |
其他信息
Microsoft Active Protections 计划 (MAPP)
为了改善客户的安全保护,Microsoft 在每月安全更新发布之前向主要安全软件提供商提供漏洞信息。 然后,安全软件提供商可以使用此漏洞信息通过其安全软件或设备(如防病毒、基于网络的入侵检测系统或基于主机的入侵防护系统)为客户提供更新的保护。 若要确定安全软件提供商是否提供主动保护,请转到 Microsoft Active Protections 计划 (MAPP) 合作伙伴中列出的计划合作伙伴提供的活动保护网站。
支持
如何获取此安全更新的帮助和支持
- 帮助安装更新: 支持 Microsoft 更新
- 面向 IT 专业人员的安全解决方案: TechNet 安全故障排除和支持
- 帮助保护运行 Windows 的计算机免受病毒和恶意软件的攻击: 病毒解决方案和安全中心
- 根据国家/地区提供本地支持: 国际支持
免责声明
Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2014 年 10 月 14 日):公告已发布。
页面生成的 2014-10-07 14:53Z-07:00。