Microsoft 安全公告 MS15-025 - 重要

Windows 内核中的漏洞可能允许提升权限（3038680）

发布时间： 2015 年 3 月 10 日 |更新时间：2015 年 3 月 16 日

版本： 2.0

执行摘要

此安全更新可解决 Microsoft Windows 中的漏洞。 如果攻击者登录到受影响的系统并运行特制的应用程序，则最严重的漏洞可能会允许提升特权。 成功利用漏洞的攻击者可以在登录到受影响系统的其他用户帐户的安全上下文中运行任意代码。 然后，攻击者可以安装程序;查看、更改或删除数据;或创建新的帐户，并具有完全用户权限。

对于所有受支持的 Microsoft Windows 版本，此安全更新都被评为“重要提示”。 有关详细信息，请参阅 “受影响的软件 ”部分。

安全更新通过更正 Windows 注册表虚拟化如何处理其他用户的虚拟存储以及 Windows 如何验证模拟级别来解决漏洞。 有关漏洞的详细信息，请参阅 “漏洞信息 ”部分。

有关此更新的详细信息，请参阅 Microsoft 知识库文章3038680。

受影响的软件

以下软件版本或版本受到影响。 未列出的版本或版本要么超过其支持生命周期，要么不受影响。 若要确定软件版本或版本的支持生命周期，请参阅Microsoft 支持部门生命周期。

^[1]Windows 7 和 Windows Server 2008 R2 的3035131更新影响了二进制文件，这些二进制文件通过安全公告3033929同时发布更新。 请参阅本公告中的“更新常见问题解答”条目，了解如何影响手动下载和安装更新的客户。

^[2]此更新只能通过Windows 更新获取。

更新常见问题解答

与安全公告3033929相关的3035131更新如何？
对于 Windows 7 和 Windows Server 2008 R2，此公告中讨论的3035131更新共享受影响的二进制文件，同时通过 安全公告3033929发布更新。 受影响二进制文件中的这种重叠需要一个更新取代另一个更新，在这种情况下，它是取代更新3035131的公告更新3033929。 启用了自动更新的客户不应遇到异常安装行为;这两个更新应自动安装，并且两者都应显示在已安装的更新列表中。 但是，对于手动下载和安装更新的客户，安装更新的顺序将确定观察到的行为，如下所示：

1. 方案 1（首选）：客户首先安装更新3035131，然后安装公告更新3033929。 结果：这两个更新应正常安装，两个更新都应显示在已安装的更新列表中。

2. 方案 2：客户首先安装公告更新3033929，然后尝试安装更新3035131。 结果：安装程序通知用户3035131更新已安装在系统上;并且不会将3035131更新添加到已安装的更新列表中。

严重性分级和漏洞标识符

以下严重性分级假定漏洞的潜在最大影响。 有关此安全公告发布 30 天内漏洞的可利用性及其严重性评级和安全影响的信息，请参阅 3 月公告摘要中的“可利用性索引”。

漏洞信息

注册表虚拟化特权提升漏洞 - CVE-2015-0073

权限提升漏洞的存在方式 是 Windows 注册表虚拟化 不当允许用户修改其他用户的虚拟存储。 成功利用此漏洞的攻击者可以在登录到受影响系统的其他用户帐户的安全上下文中运行任意代码。 然后，攻击者可以安装程序;查看、更改或删除数据;或创建新的帐户，并具有完全用户权限。

若要利用此漏洞，攻击者首先必须登录到系统。 然后，攻击者可以运行一个专门制作的应用程序，利用该漏洞并控制登录到受影响系统的其他用户的帐户。 此更新通过更正 Windows Registry Virtualization 如何处理其他用户的虚拟存储来解决漏洞。

Microsoft 通过协调的漏洞泄露收到了有关此漏洞的信息。 最初发布此安全公告时，Microsoft 未收到任何信息，以指示此漏洞已公开用于攻击客户。

缓解因素

以下缓解因素可能对你的情况有所帮助：

• 只有使用注册表虚拟化的进程才会受到此漏洞的影响。

  • 注册表虚拟化仅针对以下项启用：

    • 32 位交互式进程

    • HKEY_LOCAL_MACHINE\Software 中的密钥

    • 管理员可以写入的密钥。

      （如果管理员无法写入密钥，则即使应用程序由管理员运行，应用程序也会在早期版本的 Windows 上失败。

  • 注册表虚拟化已禁用以下各项：

    • 不是交互式的 64 位进程，例如服务。
      请注意 ，将注册表用作服务（或未启用虚拟化的任何其他进程）之间的进程间通信（IPC）机制，如果密钥虚拟化，应用程序将无法正常工作。 例如，如果防病毒服务根据应用程序设置的值更新其签名文件，该服务永远不会更新其签名文件，因为服务从全局存储读取，但应用程序会写入虚拟存储。 模拟用户的进程。 如果进程在模拟用户时尝试某个操作，则不会虚拟化该操作。 内核模式进程，例如驱动程序。
    • 在其清单中指定的 requestedExecutionLevel 的进程。
    • HKEY_LOCAL_MACHINE\Software\Classes、HKEY_LOCAL_MACHINE\Software\Microsoft\Windows 和 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT 的键和子项。
      有关详细信息，请参阅 注册表虚拟化 。

解决方法

以下解决方法可能对你的情况有所帮助：

• 禁用注册表虚拟化

使用组策略：

用户帐户控制：将文件和注册表写入失败虚拟化到每用户位置策略设置控制应用程序写入失败是否重定向到定义的注册表和文件系统位置。 此策略设置将缓和以管理员身份运行的应用程序，并将运行时应用程序数据写入 %ProgramFiles%、%Windir%、%Windir%\system32 或 HKLM\Software。

选项包括：

• 已启用。 （默认值）应用程序写入失败在运行时重定向到文件系统和注册表的已定义用户位置。
• 已禁用”。 将数据写入受保护位置的应用程序失败。

使用注册表设置：

在注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 中，将 DWORD 值“EnableVirtualization”设置为 0 以禁用文件和注册表虚拟化，或将 1 设置为启用（这是默认值）

有关详细信息，请参阅 用户帐户控制：将文件和注册表写入失败虚拟化到每个用户的位置。

解决方法的影响。 依赖于能够写入受保护注册表和文件系统位置的软件可能无法正常工作。

模拟级别检查特权提升漏洞 - CVE-2015-0075

Windows 无法正确验证并强制实施模拟级别时，存在特权提升漏洞。 成功利用此漏洞的攻击者可能会绕过用户帐户检查来获得提升的权限。

若要利用此漏洞，攻击者首先必须登录到系统。 然后，攻击者可以运行一个专门设计的应用程序，旨在提高特权。 更新通过更正 Windows 如何验证模拟级别来解决漏洞。

Microsoft 通过协调的漏洞泄露收到了有关此漏洞的信息。 最初发布此安全公告时，Microsoft 未收到任何信息，以指示此漏洞已公开用于攻击客户。

缓解因素

Microsoft 尚未识别此漏洞的任何 缓解因素 。

解决方法

Microsoft 尚未识别此漏洞的任何 解决方法 。

致谢

Microsoft 认识到安全社区中那些帮助我们通过协调漏洞披露来保护客户的努力。 有关详细信息，请参阅确认。

免责声明

Microsoft 知识库中提供的信息“按原样”提供，不提供任何形式的担保。 Microsoft 不明确或暗示所有保证，包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下，Microsoft Corporation 或其供应商都应对任何损害负责，包括直接、间接、附带、后果性、业务利润损失或特殊损害，即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任，因此上述限制可能不适用。

修订

• V1.0（2015 年 3 月 10 日）：公告已发布。
• V2.0（2015 年 3 月 16 日）：若要解决在运行受支持的 Windows Server 2003 版本的系统上安装安全更新3033395的客户的打包问题，Microsoft 针对所有受支持的 Windows Server 2003 版本发布了更新 3033395-v2。 尚未安装3033395更新的客户应安装更新 3033395-v2，以完全保护此漏洞。 为了避免将来出现检测逻辑问题的可能性，Microsoft 建议运行已成功安装3033395更新的 Windows Server 2003 的客户也会应用更新 3033395-v2，即使它们已受到此漏洞的保护。 运行其他 Microsoft 操作系统的客户不受此重新发布的影响，无需采取任何操作。 有关详细信息，请参阅 Microsoft 知识库文章3033395 。

页面生成的 2015-03-16 14：59Z-07：00。